Das ist hier nicht notwendig. Ich sehe schon, ob Du auf mich oder auf jemanden anderen antwortest. (</faq/#Q-03a>, http://aktuell.de.selfhtml.org/artikel/gedanken/foren-boards/)

o.k. ...

Nur wenn Dein Script sozusagen als "Proxy" fungiert und alle Requests selbst durchführt. z.B. so:

http://irgendwas/script.php?url=http://.../geschuetzt/xyz.gif
(wobei hier die /-Zeichen nach dem ?-Zeichen eigentlich auch kodiert werden müssten - bin nur zu faul nachzuschauen, wie)

Dann müsste Dein Script die HTTP-Requests selbst absetzen. Das wäre möglich, jedoch w+rde es die ganze Ausführung um einiges verlangsamen.

..hmmm... habe ich noch nicht ganz kapiert :(

Der Schutz des Verzeichnisses muss nicht "Echolon-Sicher" sein - sollte aber den "normalen-neugierigen-Besucher" ausschließen. Zur Zeit habe ich folgende "Konstruktion":

• index.php mit Login => Sessionvariable wird gesetzt
• seite1.php => Sessionvariable wird abgefragt: Nein => zum Login / Ja => weiterere HTML-Body (...bla, bla der Seite) mit Link auf "go2folder.php"
• go2folder.php => Sessionvariable wird abgefragt: Nein => zum Login / Ja => tja... hier soll(te) die Weiterleitung stehen. Die Variante mit header("Location: "http://user:pass@domain); funktioniert zwar, es ist dann aber die vollständige URL (mit user:pass) im Browser zu sehen.

Wenn man statt der header...usw. eine "andere" Variante verwenden könnte, wäre das Problem erstmal gelöst - und die Sicherheit für mich o.k.

gruss x-herbert