Hi,

Sorry aber das ist Haarspalterei. Eurer Argumentations zu folge gibt es keine Rechtevergabe. Den entweder hat jemand das Recht etwas zu tun oder nicht. Sicherheitsstufen wären demnach völlig absurd.

Nein, sind sie nicht.
Wenn jemand das Recht hat den Benutzernamen zu ändern, dann soll er das können.
Wenn jemand dieses Recht nicht hat, soll er das nicht können.

Was du machst ist, dass jeder den Benutzernamen ändern kann, nur manche bekommen einen Button und manche müssen ihren Request selbst zusammenbauen.

Das hat nichts mit Sicherheit zu tun, sondern mit Usability :-P

gibt es eine möglichkeit die Hürde an meine Daten zu kommen noch etwas höher zu legen, so das erst Entwickler mit dem Skillfaktor 12 auf die Daten zugreifen können?

Wie angesprochen, Captchas und Tokens.
Du könntest sicher auch noch irgendwo mal was Hashen und Verschlüsseln.
Zudem das Javascript "uglify"en, und ein paar unnötige Requests machen, um vom wesentlichen abzulenken.

Und ja, hacken kann man alles... vor allem js Anwendungen.

Ich finde diese Begründung irritierend.
Du lässt nämlich zu dass dein Server "gehackt" wird, unabhängig vom Javascript-Code auf dem Client.
Und mit dieser Begründung könnte man auch auf Sicherungsmaßnahmen gegen SQL-Injection o.ä. verzichten, weil "PHP hat ja sowieso irgendwo eine Sicherheitslücke die das zulässt".

~dave