Hi Frank,

• welche Rechte muss dass Script haben, welche darf htpasswd haben ?
  Das Skript muss halt Schreibrechte auf die Datei haben.

... und der Apache sollte diese Datei unter seiner Betriebskennung auch lesen dürfen, sonst wird das nix mit dem login. ;-)

• ist es besser, wenn htpasswd *nicht* in htdocs steht?
  Besser ist das. Theoretisch kann man aber -- und meistens ist es auch
  so konfiguriert

Bis 1.3.12 war ".htaccess" in der Auslieferungs-Standardkonfiguration automatisch geschützt (also auch jede Datei, in deren Name dies Zeichenfolge auftrat!), seit 1.3.14 ist es "^.ht" .

Wegen dieser Regel wird überhaupt der Name .htpasswd empfohlen - eigentlich ist der frei wählbar, er wird ja in der ".htaccess" explizit definiert.
(Ich selbst lasse den nicht mit '.' anfangen, sondern nehme irgendwas Allgemeinverständliches wie "users.dat" etc.)

-- dem Apache sagen, dass er Dateien, die mit .ht
beginnen, überhaupt nicht rausgibt. In dem Fall ist es vermutlich egal,
in welchem Verzeichnis du die .htpasswd ablegst.

Es ist also eine Frage Deines Vertrauens in die Server-Konfiguration.

Wenn Du diese Abhängigkeit vermeiden willst, ist ein Platz außerhalb des URL-Raums hilfreich (und dann auch ein selbstgewählter Dateiname sinnvoll).

Viele Grüße
      Michael