Hi Hermann,

a) ein User betritt per Datenbankabgleich seiner
spezifischen Benutzerdaten einen (für viele User -
aber nicht für die Öffentlichkeit) gleichgeltenden
Informationsbereich. Hierzu benutzt er bereits
"seine" spezifischen Userdaten. Dieses Verzeichnis
ist allerdings derzeit (also während der Testzeit)
noch nicht mit .htaccess geschützt. Deswegen
funktioniert das auch.

und deswegen funktioniert der Rest _nicht_.

Schütze auch dieses Verzeichnis bereits mit .htaccess,
durch die Prüfung von "valid-user".
Hier und jetzt _muß_ der Anwender gezwungen werden,
sich via Server Authentication einzuloggen - in allen
nachfolgenden Zugriffen wird _dann_ seine Benutzerken-
nung von Deinen PHP-Skripten über die CGI-Schnittstelle
weiter verarbeitet werden können.

b) in diesem allgemeinen Informationsbereich findet
er Möglichkeiten des Zugriffs auf Informationen
(z.B. Projektinformationen), die NUR ihn was angehen

• er könnte also theoretisch einfach weiterarbeiten,
  ohne erneut Benutzerdaten einzugeben, wenn da nicht
  das Problem wäre.

Das Problem besteht darin, daß Du die Logik einer
Client-Server-Kommunikation und das Wesen der HTTP
Authentication noch nicht verstanden hast.

HTTP Authentication, also das, was Du ".htaccess"
nennst, funktioniert so, daß der Browser (!) bei jedem
Zugriff auf eine Seite die in seinem Arbeitsspeicher
gespeicherten credentials immer wieder mitsendet (ohne
daß dies dem Besucher bewußt ist).

Dazu muß er sie aber zuallererst einmal haben! Und das
schaffst Du nicht mit einer wie auch immer gearteten
serverseitigen Logik, sondern nur mit der Verwendung
von HTTP Authentication. Alle Versuche, mit PHP oder
mySQL irgendwas serverseitig zu tun, sind zum Scheitern
verurteilt. Es geht _nur_ anders herum.

c) Selbst wenn er "SEINEN" Bereich durch nochmalige
Eingabe seiner Benutzerdaten betreten hat, führt
immer noch jeglicher Aufruf neuer Seiten in diesem
Bereich zur .htaccess gesteuerten Abfrage
(tausendmal ausprobiert).

Das verstehe ich nicht. Da müßte ich ein Beispiel zum
Ansehen haben. Welchen Realm Name liefert Dein Server
denn für diese Seiten aus?
Besitzt Du ein Werkzeug, mit dem Du die HTTP-Header der
von Dir ausgelieferten Seiten lesen kannst?
(http://www.schroepl.net/cgi-bin/http_trace.pl)

d) da die angetroffene Benutzer-/Systemumgebung die
Verwendung von Cookies NICHT erlaubt, muss ein
anderer Weg gefunden werden, um nicht bei jedem
Seitenwechsel jedesmal die Benutzerdaten erneut
eingeben zu müssen.

Die Erwähnung von Cookies war ein Irrweg, der auf
Deiner nicht wirklich transparenten Problembeschrei-
bung basierte. Vergiß diese Idee wieder.

Das muss doch irgendwie gehen. Wenn ich mir zum
Beispiel "gmx" ansehe, dann betritt der Anwender
seinen Bereich und kann darin problemlos OHNE
Cookies navigieren.

Ja - aber GMX verwendet dann auch keine HTTP Authen-
tication, sondern ein eigenes Session-Protokoll.
Wenn Du das willst, dann vergiß .htaccess komplett
und lies Dich in das Session-Handling von PHP ein.

Viele Grüße
      Michael

P.S.: Eine fertige Lösung für Dein Problem ist solange
      nicht möglich, wie Dein Problem immer noch nicht
      exakt beschrieben ist.