Gerne würde ich es mir aber einfacher machen und defacto nur auf den eigentlichen Hauptseiten des geschützten Bereichs jeweils die SESSION prüfen und alle SKripte usw. in ein Verzeichnis packen, dass von Außen nicht aufgerufen werden kann.

Genauso machst du das!

Ist sowas möglich

Ja. Du musst eben 'nicht-öffentliche' Verzeichnisse haben. Dies ist dann der sicherste Weg. Noch sicherererer als die Verzeichnisse mit .htaccess zu schützen.

Cheers,
Baba