Es ging hier (zumindest momentan) nicht darum, daß er Benutzer hat, die per telnet-Zugang direkt auf den Rechner können oder per CGI eigene Programme starten.
Das habe ich auch schonmal gehört, das man mit Telnet htaccess umgehen können soll, aber wie soll das bitte gehen? Ich habe auf meinem Server keinen Telnet-Zugang, an Port23 ist nix los. Wie soll man dann mit Telnet drauf zugreifen?

Der Zugang per telnet bzw. ssh muß auf dem Server natürlich freigeschaltet sein. Aber wenn er für Dich freigeschaltet ist, kannst Du auf dem Server genauso arbeiten, wie Du es vielleicht schon aus der MS-DOS-Kommandozeile kennst (bzw. besser, weil Unix-Shells wesentlich komfortabler sind). Im Kern bedeutet das: Du kannst Programme auf dem Server starten.

Das man damit die .htaccess umgehen kann sollte klar sein, denn die .htaccess wir nur vom Webserver (dem Programm) ausgewertet. Wenn Du mit anderen Programmen im Dateisystem arbeitest, ist die .htaccess deshalb vollkommen nutzlos - sie ist einfach nur eine weitere Textdatei.
Hier greift dann der Schutzmechanismus des Dateisystems.

Ich weiß, das gehört nicht direkt in diesen Thread, aber interessiert mich trotzdem, warum sind htaccess geschützte Dateien unsicherer als Dateien außerhalb des Document-root?

Per .htaccess geschütze Dateien sind insofern unsicherer als Dateien außerhalb des DocumentRoots des Webservers, weil der Webserver letztere überhaupt nicht ausliefert wird. Per .htaccess geschützte Dateien hingegen werden natürlich grundsätzlich schon ausgeliefert (dafür sind sie ja da).

Ich finde diese Aussage, die Du da zitiert hast, aber irgendwie ein wenig unsinnig, denn, wie gesagt, das Dateien, die überhaupt nicht vom Webserver zur Auslieferung vorgesehen sind ein paar Ticks "sicherer" sind als solche, die zur Auslieferung vorgesehen sind, sollte logisch sein.
Ein Fahrrad, das Du in die Garage sperrst, steht schließlich auch sicherer als eines, daß Du mit einem Panzerschloss an eine Laterne kettest..

Aber PHP als CGI laufen zu lassen, waere ja ein Sakrelik :)

Klasse, dann muß man für jeden Seitenaufruf den PHP-Interpreter starten..
Also von folgendem Provider weiß ich das PHP als CGI Läuft, und da dauern Requests an dynamische Seiten zu über 99% unter 0,8 Sekunden und durschnittlich 0,17 Sekunden.

Ok, ich mag da etwas sehr altmodisch sein, mir ist es halt grundsätzlich etwas unangenehm, wenn man noch extra ein nicht gerade kleines Programm wie hier zum Beispiel den PHP-Interpreter starten muß. Je nach Serverhardware und -auslastung fällt das natürlich mehr oder weniger deutlich auf. Und diese Leistungseinbußen muß man selbstredend mit Sicherheitsaspekten aufwiegen.

Gruß,
  soenk.e