Re:

Dann würde ich vorschlagen, Du schreibst in die .htaccess als Passwortquelle wieder .htusers hinein. Das Bearbeiten dieser Datei überläßt Du dann einem/einigen PHP-scripte/+n, so bleibst Du immer noch dynamisch genug, hast aber zwei andere Bremsen schonmal abgestellt:

Authentifizierung
    => 1. Aufruf von PHP (oft leider nicht per API)           => 2. Aufruf eines Datenbankservers

Im Gegensatz dazu wird nur bei Änderungen der PHP-parser in Anspruch genommen.

Jetzt noch mal kurz darüber nachgedacht greift der Server wahrscheinlich mit einem einfachen Lesezugriff auf die jetzige htusers.php. Rein interessehalber könnte eine Konstellation, die den Server zwingt htusers.php zu parsen, sogar Erfolg haben:

AuthUserFile http://www.deine_domain.net/htusers.php

Vermutlich(!) ist diese Angabe gar nicht erlaubt under der Server verweigert dies...

Gruß aus Berlin!
eddi