Ob das auch in SHTML machbar ist, weiß ich allerdings nicht.
Das if wäre kein Problem, aber SSI kann leider nicht weiterleiten oder
sonst irgendwie einen echten Fehler erzeugen.

Weiterleiten nicht - aber includen ... und darin Environment-Variablen
verwenden. Damit müßte man doch einen Zugriff auf einen modifizierten URL
hinkriegen, oder?

Einen Zugriff sicher, aber das Problem bleibt doch weiterhin bestehen: Der Client sieht einen erfolgreichen Abruf einer URL, obwohl diese nicht existiert bzw. existieren darf.

Solange man nicht den HTTP-Statuscode in Richtung 3xx oder besser noch 4xx ändert, kaschiert man vielleicht die Symptome, aber beseitigt nicht die Ursache.

So gesehen ist diese PATH_INFO-Angelegenheit zwar eine nette Sache, aber wenn man ungültige Zugriffe nicht direkt im Skript abfangen kann (wie es eben bei SSI der Fall ist), erscheint mir das nicht so recht durchdacht zu sein.. Da wäre eine Option DisallowPathInfo bei mod_include ganz hilfreich.

Gruß,
  soenk.e