Hallo Wolfgang,
da es Dutzende solche Diskussionen im Archiv gibt, geb ich Dir nur eine kurze Antwort.
<?php include("restricted.inc.php"); ?>
Tipp: ' statt " verhindert, dass PHP Strings ohne Variablen oder Sonderzeichen drin parsen muss. Bringt Performance.
Muss ich ein download.php schreiben, welches die Datei quasi durchreicht?
Ja, die wohl beste Variante. Header und readfile sind Deine Funktionen dafür.
Gibt es eine sinnvolle Möglichkeit, Verzeichnisse mit htaccess zu schützen, aber anstatt des Authorisierungspopups eine php Seite mit Eingabeformular zu verwenden?
Nein, da der Server nur sagt, ich will ein Passwort, und wie danach gefragt wird, klärt der Browser des Nutzers.
Das Passwort soll dabei aber nicht als Teil der URL übermittelt werden!
Guter Ansatz, aber wenn Du das Passwort nicht auf der Nutzerseite bereits veschlüsselst, geht es dennoch im Klartext durch die Leitung, ausser, du kannst Digest Auth verwenden. Zur clientseitigen Verschlüsselung gibt es einen Feature-Artikel im JavaScript-Bereich, Digest Auth sollte als Suchbegriff dutzende Unterhaltungen dazu zu Tage fördern. ;)
Gruss, Thoralf
Sic Luceat Lux!