hi,

Die Doku-Seite zu mod_rewrite ist so komplex, dass ich dort von alleine nicht durchsteige.

hast du dort insb. mal den abschnitt Internal Processing durchgeschaut?

"First you have to understand that when Apache processes a HTTP request it does this in phases. A hook for each of these phases is provided by the Apache API. Mod_rewrite uses two of these hooks: the URL-to-filename translation hook which is used after the HTTP request has been read but before any authorization starts and the Fixup hook which is triggered after the authorization phases and after the per-directory config files (.htaccess) have been read, but before the content handler is activated.

So, after a request comes in and Apache has determined the corresponding server (or virtual server) the rewriting engine starts processing of all mod_rewrite directives from the per-server configuration in the URL-to-filename phase. A few steps later when the final data directories are found, the per-directory configuration directives of mod_rewrite are triggered in the Fixup phase."

heißt, nach meinem verständnis, folgendes:

zuerst mal werden die (eventuellen) RewriteRules abgefrühstückt, die in der server-konfiguration hinterlegt sind.

anschließend wird im jeweiligen verzeichnisbaum (dessen erreichen jetzt schon durch "URL-to-filename"-umschreibungen passiert sein kann) nach anweisungen in .htaccess-dateien geschaut.
dort hinterlegte RewriteRules werden jetzt aber erst berücksichtigt, _nachdem_ eine evtl. für diesen verzeichniszweig erforderliche Authentifizierung durchgeführt wurde.

Die Ausgabe der script.php muss unbedingt Passwort-geschützt sein, daher habe ich sie in ein solches Verzeichnis abgelegt.

reicht es für dein vorhaben evtl. aus, _nur_ diese script-datei per HTTP Auth zu schützen? (und nicht das gesamte verzeichnis)

die dafür notwendigen anweisungen kannst du innerhalb der .htaccess-datei nämlich auch innerhalb einer <Files>- oder <FilesMatch>-direktive unterbringen.

gruß,
wahsaga