hallo,

Mhm. also in /cgi-bin/irgenwas/script.pl ist der benutzende Script

Nicht "der", sondern "das" Script. Warum in einem Unterverzeichnis von cgi-bin?

und in /cgi-bin/irgenwas/nochwas/.htaccess liegen teils Daten teils zu requirende Scriptteile

Das ist wenig sinnvoll. Man nennt ein "Verzeichnis" nicht ".htaccess". Abgesehen davon, daß der Punkt vor diesem Verzeichnisnamen es als "versteckt" kennzeichnen würde.

Kann denn der aufgerufene Script in den Ordner greifen und holen, was er braucht und schreiben was er will?

Selbstverständlich, solange es sich um _das_ Script handelt. Wie die Verzeichnisse heißen, ist wurscht. Solange das Script den korrekten Verzeichnisnamen kennt.

Dann könnte die Sache doch Sinn machen.

Erst dann, wenn du verrätst, wo nun deine _Datei_ .htaccess liegt.

Der Script kann ohne Passwort aufgerufen werden es gibt aber ein login und es sieht so aus, als ob die Passwörter und Benutzernamen in Cookies gehandelt werden.

Das tut es zwar nicht, spielt aber keine Rolle. Es ist schlichtweg Verarschung, was da passiert.

Gehe ich wohl recht in meiner Annahme?

Nein. Du gehst Kurven.

Grüße aus Berlin

Christoph S.