Nur, dass ich das jetzt richtig verstanden habe:
-Link aus dem Forum auf die Seite mit inline-Php(session-id wird übergeben)
-Php holt sich aus der Db den zur Session-ID zugehörigen Usernamen
-Verschlüsselt den Username mit Session-ID als Key
-Übergibt Session-Id und verschlüsselten Usernamen per automatisch generierten <param>-Tags an Java
-Java entschlüsselt den Username
...

Stimmt das alles soweit?
Natürlich könnte man jetzt immer noch:
-den Quelltext dekomplimieren.
-Dann entsprechend einen beliebigen Key zum verschlüsseln wählen.
-Diesen und den damit verschlüsselten Username über eine veränderte Html-Datei dem Programm übergeben.

Gegenmaßnahme: Java überprüft Ip[möglich?-wenn ja: wie?]

Jetzt bliebe natürlich noch das umschreiben des Quellcodes.
Aber den Aufwand wird wohl kaum jemand betreiben.

mfg,
Raban