1) Zabezpečení pomocí MAC adresy není bezpečné při jakémkoli použití. MAC adresa je 48 bitové číslo. Z toho lze vyloučit ty MAC adresy, které ještě nebyly použity a MAC adresy prehistorických zařízení přiřazovaných v úplných počátcích. Potom se vyřadí speciální vyhrazené MAC a pak se vyřadí všechny MAC adresy zařízení, co nekomunikují po Ethernetu (takže WiFi, WiMAX...). Potom si útočník vytipuje pravděpodobné serverové modely různých výrobců a pak už jenom bude zkoušet.
Z MAC adresy jde poznat výrobce (prvních 24 bitů) a podle zbývajících 3 B sérii a konkrétní model.
Zabezpečení se spíš dělá nějakým privátním klíčem, který budeš mít uložený na serveru a který samozřejmě nebude veřejně přístupný.
2) Napřed vyzkoušej to, abys nemusel přepisovat do PHP.
3) PHP běží na serveru a jako výstup generuje pouze HTML stránku, která se následně odesílá klientovi. Ke kódu PHP skriptu se klient vůbec nedostane.