Mahlzeit Su Ling,

Ich möcte verhindern, dass meine inc-Dateien separat aufgerufen/ausgeführt werden könnnen.

Definiere "inc-Dateien"! Was verstehst Du darunter? Dateien, die nicht direkt per HTTP abgerufen werden können (sollen)? Also Dateien, die in Skript-Dateien, die direkt per HTTP abgerufen werden, eingebunden werden?

Da eine der inc-Datein ein Formular enthält, das mittels POST Daten an eine eine weitere inc-Datei übergeben soll,

Gesetzt den Fall, dass meine o.g. Annahme richtig ist, kann dieser Fall *niemals* vorkommen.

(soweit mir bekannt), kann ich mit Post auch keine action in einem gesperrten Ornder aufrufen, oder?

Was verstehst Du unter einem "gesperrten Ordner"? Wenn Du damit meinst, dass HTTP-Zugriffe (von außerhalb) auf diesen Ordner vom Webserver unterbunden werden, dann liegst Du richtig: dann kannst Du natürlich nicht mittels POST etwas an ein darin liegendes Skript schicken.

Vielleicht (vermutlich) bin ich aber auch gänzlich auf dem falschen Weg ...

Vielleicht. Das ist aber schwer zu sagen, da Du einfach viel zu viele Fragen offen lässt. Fangen wir doch einfach mal damit an, dass Du uns verraten könntest, welchen Webserver und welche serverseitige Skriptsprache Du benutzt. Dann könntest Du beschreiben, was für Dich eine "inc-Datei" ist und - falls ich richtig geraten habe - wie diese eingebunden werden.

daher: Wie kann ich inc-Dateien so schützen, dass sie nur included angesprochen ausgeführt werden (können)?

Indem Du sie außerhalb des DOCUMENT_ROOT aufbewahrst. Sofern der Webserver Leserechte in diesem Verzeichnis hat, können sie ohne Probleme von dort in Deine eigentlichen Skripte eingebunden werden.

MfG,
EKKi