Hallo,

Also: ich habe ein Verzeichnis per .htaccess geschützt (www.hier.de/geheim/) und möchte das das Verzeichnis bzw. Dateien in dem Verzeichnis direkt von einer per Session (PHP) geschützten Seite aufgerüfen werden kann (session.php).

Eine Session stellt keinen Schutz für eine Seite dar.
(Widerspruch bitte hier:_____________________________)

Sie sorgt für die einfache Wiedererkennung eines Surfers. Erst durch die verwendung weiterer, von der Session unabhängiger Erkennungsmerkmale, erhält man relative Sicherheit. Das kann ein zusätzlicher temporärer Cookie sein in Verbindung mit einem Mechanismus, der z.B. sofort bei Fehlerhafter Kombination von Sessionnummer und "Sicherheitscookie" die Session sperrt (zerstört). Dadurch erhält man, was die reine Kombination betrifft, praktisch unendliche Sicherheit. Leider gibts immer noch Lauscher auf den Leitungen. Das zwerstört diese wunderschöne Theorie wieder...

Nun zu Session und Auth:

Der Zugriffsschutz von .htaccess erstreckt sich nur auf den Weg über HTTP. Das bedeutet, dass nur bei einem Zugriff von Außen auf den Webserver geprüft word, ob Zugriffsrechte verlangt werden. Wenn man Host-intern, also vom Applikationserver auf das Filesystem zugreift, dann werden diese Rechte vom Apachen nicht geprüft. Das bedeutet, dass Du über ein entsprechendes Script auf jede "geschützte" Seite zugreifen kannst, auf die die Applikation (Apache, wwwrun) auf Fileserver-Ebene Zugriff hat.

Benutze einfach den Befehl readfile() oder passthru() oder so ähnlich. Ggf. musst Du noch einen passenden Header mit dem richtigen DocType vorausschicken, aber das müsstest Du hinbekommen.

Liebe Grüße aus http://www.braunschweig.de

Tom