Hi!

Wenn sie innerhalb liegt, dann hast du aber zusätzliche Maßnahmen ergriffen, um sie nicht per HTTP abrufbar zu machen?
Auf Dateien, die mit ".ht" beginnen verweigert der Apache den HTTP-Request.

Das ist kein Gesetz sondern nur eine Default-Konfiguration in der Hauptkonfigurationsdatei des Apachen, die der Provider auch aus Versehen oder absichtlich wegnehmen kann oder man selbst als Anwender überschreiben kann.
Gegen Lesezugriffe auf Dateien selbst ist es besser und oft einfacher zu realisieren als man denkt, sie in nicht erreichbare Verzeichnisse zu verlegen. Wenn allerdings ein erreichbares Script manipuliert oder (beispielsweise ein Download-Script) unvorhergesehen aufgerufen werden kann, so dass es die inkludierten Daten ausgibt, hilft das natürlich auch nichts.

Lo!