Hi!

Da hab ich dann aber schon wieder ein Problem, wenn ich den REMOTE_USER verwende, dann ist es schon zu spät, um noch zu überprüfen, ob der User Zugangsberechtigung hat,

Nein, an dieser Stelle ist es bereits geprüft!
Ein User der sich nicht eingeloggt hat kommt erst gar nicht bis zum PHP-Script und auch  nicht zu allen anderen Dateien im Verzeichnis.

denn dann ist der User über htaccess schon registriert und soweit ich weiß, gibt es keine Möglichkeit, die Variablen wieder zu löschen.

Warum solltest Du das wollen? Alle User die das PHP-Script aufrufen sind bereits authentifiziert - fertig.
Anhand von $_SERVER['REMOTE_USER'] kannst Du dann noch den Inhalt abhängig vom User anbieten.

Du könntest z.B. die Usernamen in der Passwort-Datei auch als Primärschlüssel in der User-Tabelle der Datenbank verwenden, und dann mit der DB machen was auch immer Du willst. Wer der aktuelle User ist steht dann immer in $_SERVER['REMOTE_USER']. Musst dann halt die Passwort-Datei und Tabelle parallel plegen/bearbeiten, was aber in diesem Fall nicht das Problem sein sollte.

So funktioniert das prinzipiell auch hier im Forum mit </my/>
Hier konnten wir installieren was wir wollen, aber bei Deinem Provider geht das nicht und Du musst entweder damit leben, oder Dir ein Angebot suchen wo Du das bekommst was Du brauchst, bedenke wieviel Zeit Dich der Workaround kostet und wie wenig Du vermutlich dagegen durch das aktuelle Hosting-Paket sparst.

Ist es denn evtl. möglich, über PHP einen Verzeichnisschutz zu realisieren?

Prinzipiell kannst Du mit PHP auch nen Webserver schreiben der alles macht was Du willst, ist aber wenig sinnvoll. Einen Verzeichnisschutz kann PHP als Webserver-Modul oder CGI nicht bieten, weil es dazu nicht gedacht und eingerichtet ist. Dazu gibt es andere Module, wie Du ja weißt!
Die einzige Möglichkeit wäre jede Datei von PHP ausgeben zu lassen, mit readfile()... aber das wäre nur meine letzte Lösung.

Grüße
Andreas