Hi,

Vermute ich also, dass Zugriffe des PHP-Scriptes mit z.B. fread, fwrite, include etc. von der .htaccess nicht beeinflusst werden, ich dafür also ohne weiteres "deny from all" setzen könnte.
Wenn jedoch z.B. über form-action ein PHP in /DIR/SUBDIR gestartet wird, wäre das ein HTTP-Zugriff, dessen Herkunftsort der Client ist

Korrekt.

den ich aber gerade nicht aussperren will. Hm !?

Was bleibt also, um das /SUBDIR zu schützen ?

Vor *was*?
Das ist mir irgendwie immer noch nicht klar.

Lautet also das eigentliche Problem: Wie verbiete ich selektiv das Ausführen des PHP in /SUBDIR, bzw. erlaube es nur über den Weg  einer bestimmten (erzeugten) html beim Client ?

Dass ein Request von irgendwo und von irgendwem gemacht wird, kannst du überhaupt nicht verhindern.
Du kannst höchstens unterschiedlich auf Requests reagieren.

Du könntest bspw. das Formular auch per Script ausliefern, und dabei eine Session starten. Damit könntest du zumindest sicherstellen, dass das Formular vorher abgerufen wurde.

„Sicherheit“ gegen die Übermittlung nicht gewünschter/manipulierter Daten liefert das aber natürlich auch nicht. Falls das dein Ziel sein sollte, dann bist du aktuell komplett auf dem Holzweg - dann lautet dein Stichwort Validierung/Plausibilisierung.

MfG ChrisB