Hallo,

Es gibt aber im öffentlichen Bereich, in den Skripten dort, noch andere Stellen, von denen aus ich in den verbotenen Bereich verweise. Z.B mittels a - tag. Wenn ich den DOCUMENT - ROOT nicht nach oben verschiebe, wie soll ich denn dann den verbotenen Bereich erreichen können?

du bringst zwei Dinge durcheinander - nämlich
 1. Daten, die nur für einen bestimmten Benutzerkreis zugänglich sein sollen, z.B. nach Login, und
 2. Daten, die über HTTP *gar nicht* zugänglich sein sollen, sondern nur z.B. für PHP-Scripte.

Alles, was irgendwie von außerhalb des Servers zugänglich sein soll, ob mit oder ohne Login, *muss* im Domain-Root oder einem untergeordneten Verzeichnis liegen (Punkt 1).
Es gilt der Umkehrschluss: Alles, was nicht im Domain-Root oder unterhalb davon liegt, ist von außen nicht zugänglich (Punkt 2).

Nun alle Klarheiten beseitigt?

So long,
 Martin