hi,

Wenn eine Scriptausführung durchgeführt wird, Dann ist doch der Apache in diesem Moment an der Überwachung der Ordner garnicht mehr beteiligt. Praktisch könnte der Script auch auf Bereiche außerhalb der documentroot zugreifen, soweit es der Rechneradmin zuläßt und auch innerhalb der documentroot ist das nur von den Dateirechten abhängig und nicht vom Apache. Wenn das Script eine Redirektion durchführen würde, käme doch erst der Apache wieder ins Spiel.

Kurz und Knapp: HTTP betreffende Direktiven kommen nur dann zur Anwendung, wenn der Zugriff über HTTP erfolgt.
Ein Zugriff von einem Script auf Inhaltes des Dateisystem des Servers haben nichts mit HTTP zu tun, also sind dem Script solche Direktiven egal.

Wenn ich richtig liege, sollen die untergeordneten Verzeichnisse vor Zugriffen von Außen geschützt werden

Dazu reichte, wie bereits gesagt, DENY FROM ALLOW vollkommen aus.
Irgendwelche HTTP-Auth-Geschichten sind dafür absolut nicht notwendig.

Im Gegenteil, HTTP Auth stellt ja kein komplettes Verbot dar, sondern ermöglicht Zugriff unter bestimmten Bedingungen.
Da hier aber was die Zugangsdaten angeht auf /dev/null verwiesen wird, ist auch das wieder blödsinnig, es kann keinen per HTTP Auth zugelassenen Zugriff auf die Ressourcen geben.

gruß,
wahsaga