Meine Frage, reicht es nciht aus, folgende .htaccess anzulegen?
In Verzeichnissen, wo Du hochgeladene Dateien sicher speicherst, wird eine .htaccess gar nicht wirksam. Es sei denn, Du verbiegst mit Deinem Framework DOCUMENT_ROOT aber da musst Du schon genau wissen was Du tust.
Du meinst sicher, ich sollte die Dateien außerhalb des htdocs speichern. Geht in meinem Fall eher nicht, weil ich die Bilder anzeigen möchte.
Selbstverstänlich kannst Du Bilder auch anzeigen/ausgeben, wenn sie woanders gespeichert sind. PDF genauso. Aber ein öffentliches Upload in ein per DOCUMENT_ROOT zugängliches Verzeichnis würde ich auf gar keinen Fall zulassen.
Schließlich möchtest Du eine Zugriffskontrolle über die Inhalte. Und das ist was Anderes als eine Kontrolle über URLs zu haben (.htaccess). Das sind zwei grundverschiedene Dinge.