Hallo!

remote user hat den wert des eigebenen usernamens, ebenso php_auth_user und php_auth_pw hat den wert des passwortes.

Wenn diese Variablen vorhanden sind, heißt das lediglich dass der Anwender einen entsprechenden HTTP-Header gesendet hat, das hat in keinster Weise damit zu tun ob es diese Zugangsdaten tatsächlich gibt, ob Sie gültig sind...

es geht darum das einige elemente eines dokuments nur bestimmten nutzern zugänglich sein soll. daher die abfrage.

Du muss in PHP die entsprechende Passwort-Datei abfragen. Das kannst Du Dir selbst schreiben, oder Sachen wie PEAR::File_Passwd verwenden. Allerdings ist es in meinen Augen nicht wirklich sinnvoll gleichzeitig zwei verschiedene Prüfungen der Authentifizierung vorzunehmen. Eine Prüfung durch den HTTP-Server (z.B. per .htaccess) würde ich persönlich nur verwenden, wenn ich z.B. ganze Verzeichnisse schützen will (und das ganze entsprechend komplett dem HTTP-Server überlassen). Sonst würde ich eher zu einer reinen PHP-Lösung tendieren (kann auch HTTP-Auth verwenden). Das gibt einem die größere Flexibilität.

Grüße
Andreas