Danke für deine Antwort...

hmm... was für andere "sichere" Methoden gibt es denn, um webseiten komplett ala .htaccess zu schützen ohne dass man per Direktlink auf die Seite zugreifen kann?

Der Grund, warum ich meine Seite schützen will ist, dass mich ein ehemaliger Freund mit Bot attacken terrorisiert (er hat ca. 2000 gehackte bots und DDoSed damit meine/n Page/Server)...

Hatte mir ein kleines PHP Auth system geschrieben, hatte bis jetzt auch ganz supi geklappt, nur scheint es, dass er dies auch overflowen kann, so dass dann die ganze Page abspackt :(

Danke für Antworten...

Moin!

Wie kann ich bei einem .htaccess geschützen Verzeichnis verhindern, dass man per http://username:password@domain.com direkt in das Verzeichnis kommt?

Gar nicht, weil aus der Sicht des Servers beide Requests gleich aussehen. Ob der Besucher also Benutzername und Passwort direkt in die Adresszeile seines Browsers eingibt (sofen der das unterstützt), oder das HTTP-AUTH-Eingabefenster ausfüllt oder einen Passwortmanager benutzt, kannst du nicht feststelln - somit auch nicht eine der Möglichkeiten verhindern.

Es soll immer das Eingabefeld für username und password erscheinen und diesen Direktlink verbieten.

Nein, diesen Zwang sieht HTTP-AUTH nicht vor. Diese Eingabemaske soll nur dann erscheinen, wenn eine Ressource mit dem Statuscode 401 ausgeliefert wird, weil die Zugangsdaten beim vorherigen Request falsch waren oder gefehlt haben.

Und nein, jede Ressource mit einem 401 ausliefern ist auch keine Lösung, weil dann der Eingabedialog endlos wieder aufpoppen würde.

So long,
Martin