Hallo Roger,

[1]
lege ich sie einfach in einer datei ab (daten.inc.php) kann sie doch sicherlich irgendwie heruntergeladen werden. oder? ich mein wenn ich die url in den browser eingebe, wird mir nat. nichts angezeigt. aber es gibts doch sicher tools, mit denen ich die datei herunterladen kann?

nein, es gibt keine solchen Tools, eine Möglichkeit wäre zwar, dass der php-Parser ausfällt, aber das ist sehr unwarscheinlich :-)
Ausnahme: wenn du die Inhalte mit index.php?site=impressum übergibst und dann mit include($_GET['site'].".php"); einbindest (genau so habe ich es letzt auf einer Seite gesehen) kann man jeden beliebigen Code auf deinem Server ausführen, und auch deine mysql-Daten anschauen.

[2]
eine andere möglichkeit wäre die datei in ein per htaccess geschütztes verzeichnis zu legen. kann ich dan trotzdem von ausserhalb auf die datei zugreifen? (ich meine von meinen skripten, da die ja schliesslich die enthaltenen daten brauchen...)

das wäre eine Möglichkeit, ja. Da php nur auf das Filesystem zugreift, und keinen http-Request ausführt (nur dann greift .htaccess) können die Daten von php ausgelesen werden, von einem Angreifer aber nicht.

[3]
die dritte wäre meines erachtens eine leseberechtigung (chmod). da ja nur dem skript angeht was drinsteht, kann ich ja zusätzlich noch eine nutzerbeschränkung (chown) machen.

das wäre auch eine Möglichkeit, allerdings ist es mir nicht gelungen die Zugriffsreche so zu setzten, dass php auf die Seiten zugreifen darf, der User von außen aber nicht :-)

Grüße aus Nürnberg
Tobias