Hi Backbone,

sehr gut. also kann man htaccess-dateien als sicher ansehen wenn man dort passwörter speichert oder ähnliches, risikobehaftete daten die für logins benötigt werden?

Die Passwörter stehen in einer Datei die oft .htpasswd genannt wird. Diese Datei liegt sinnvollerweise überhaupt nicht im Web-Pfad. (Genau darum ist es ja eine extra Datei.)

jup, auch klärchen. ist dieser aber installiert dann ist das auslesen auch "unmöglich"?

Genau.
Allerdings sind auch hier wieder Fehler zu erwarten (IMHO sogar eher als bei den .ht* Dateien). Deshalb sollten alle Passwörter (etc.) enthaltenden Scriptteile in include()-Dateien liegen die nicht im Web-Pfad liegen.

Wie Sven schon sagte, normalerweise können diese Dateien nicht per Apache/http ausgeliefert werden. Normalerweise.... Deshalb legt der verantwortungsbewusste Seitenbetreiber sie ausserhalb des Webpfades ab, damit sie auch dann nicht gelesen werden können wenn etwas schiefgeht.

Gruss,
  Carsten