Witam,
mam taki plik .htaccess:

AuthName "Panel administratora"
AuthType Basic
AuthUserFile sciezka\.htpasswd
AuthGroupFile /dev/null
require valid-user

oraz skrypt (w innym folderze niż .htaccess):

[PHP] pobierz, plaintext 
<?php
	$razem_rozmiar = 0;
	$liczba_plikow = 0;
	echo '<table style = "border: 2px; font-size: 12px;  font-family: Arial ; line-height: 150%; width:500px;" >'; 
	echo '<tr>';
	echo '<td><b>Nazwa pliku </b></td>';
	echo '<td align="right" ><b>rozmiar [kB]</b></td>';
	echo '</tr>';
	foreach (glob('../Filmy/*') as $fileName) 
	{ 
		echo '<tr ><td>';
		echo '<a href="'.$fileName.'">'; 
		echo basename($fileName).' </a></td>';
		echo '<td align="right">'.	number_format(filesize($fileName)/1024, 0, ',', ' ').'</td> '; 
		$razem_rozmiar += filesize($fileName);
		$liczba_plikow++;
		echo '</tr>';
	}	echo '<tr>';
	echo '<td style = "font-weight: bold; text-align:right;">Plików: '.$liczba_plikow. ',&nbsp;    razem rozmiar: </td>';
	echo '<td style = "font-weight: bold; text-align:right" >' .number_format( ($razem_rozmiar/1024), 0,',', ' '). '</td>';
	echo '</tr>';
	echo '</table> ';
?>
[PHP] pobierz, plaintext 

Problem:
Jeżeli próbuje wejść z przeglądarki do katalogu - pojawia się monit o usera hasło - jest ok.
Jeżeli uruchomię skrypt, wyświetla się lista plików a monit o hasło pojawia się dopiero przy próbie pobrania pliku.

Dlaczego skrypt wyświetla listę plików przed pytaniem o hasło ?
pozdr.

.htaccess dotyczy odwołań z przeglądarki a nie ze skryptów php

Proszę wstawić bbcode.

ok.
ale jednak przy próbie odczytu (pobrania) pliku przez skrypt PHP, monit o hasło wyskakuje, zgodnie z ustawieniami w .htaccess .
pozdr.

Mówisz o swoim kodzie? Toć tam przecież nie skrypt pobiera plik a przeglądarka. Przecież tam są linki a linki przechodzą przez przeglądarkę

Prawda.
Czyli jeśli znam(lub zgadnę) ścieżkę - to mogę skryptem PHP odczytać (wylistować) zawartość czyjegoś katalogu ?

Jeśli hosting na którym masz serwer pozwala na takie rzeczy i ten inny ktoś ustawił prawa do odczytu dla wszystkich to tak, będziesz mógł

Dzięki.
Ostatnie dwa pytania:
1. Jak można to sprawdzić ?
Jeśli próbuje odczytać zawartość katalogu na serwerze ze skryptu uruchomionego na lokalnych Apache - to nie pozwala mi odczytać (i dobrze)
2. Czy to znaczy, że prawa są OK, czy np. skrypt uruchomiony przez innego klienta hostingu na tym samym serwerze może więcej ?
Mam na serwerze zarządzanym przez 1and1.pl
pozdr.

Twój lokalny komp nie ma nic do serwera zewnętrznego.

To nic nie znaczy. Jak pisałem Twój komp nie ma nic do serwera. Swoje hackerskie popisy musisz robić z konta na serwerze by móc coś stwierdzić.

Jakie znowu popisy - przed kim ?
Chciałem się tylko dowiedzieć jak zabezpieczyć katalog na serwerze i to wszystko.
Tak czy siak dziękuje za pomoc.
pozdrawiam.

No chodziło mi o próby które robiłeś na lokalnym kompie Nie denerwuj się, nie chciałem cię obrazić. Gdybym uznał, że hakerzysz to już dawno bym ten temat zamknął