passwort

Also das geht sicher, was OP will. Er hat die Angaben user und password ja von der linken seite im Formular. In der Abarbeitung liest er die .htaccess oder sonstige Textdatei und verarbeitet sie gegen user und password. Ist alles ok, gibt er user und password wieder aus (in der linken Seite, im Formular), und im nächsten Schritt wieder dasselbe. Skript dafür habe ich natürlich keines (gesehen). Ist's nicht ok, gibt er user und password auch aus, aber auf der welcome-Seite (links).

Für die anderen: das sind client-seitige Sessions (Europ. Pat. angem.). Geht ohne Cookie, und ohne Risiko von URL-Sessionklau.

Für den OP: das löst dein Problem. Es gibt raffiniertere Lösungen, und so eine sollte später eingebaut werden.

Lieber OP, es gibt noch weitere einfache Lösungen.

Auf der Loginseite sind user und password, diese prüfst Du gegen .htaccess oder eigene Textdatei. Ist es ok, setzt Du einen Cookie. Auf allen anderen Seiten prüfst Du bloss, ob der cookie gesetzt ist. Falls ja, so ist der Aufruf von einem Mitglied.

Auf der Loginseite sind user und password. diese prüfst Du gegen .htaccess oder eigene Textdatei. Auf der nächsten Seite, der member-welcome-seite, sind die links in den mitgleiderbereich. Fremde kommen nicht auf die member-welcome-seite, ausser jemand hat ihnen die URL gegeben.
edit: sobald Du php-sessions etwas kannst, kannst Du diese Lösung mit einer session verbessern.

Diese beiden Lösungen sind wie die vorangegangene nicht besonders gut gegen Angriffe geschützt, aber sollten für den Anfang überleben. Später baust Du eine stärkere Lösung ein.

Mit HTTP Auth hat dein Verfahren dann aber nichts mehr zu tun.

Dann kann er die Usernamen und Passwörter auch anderswo ablegen, und brauch sie nicht aus der .htpaswd rausfummeln.
(Und wenn er den Zugangsschutz in der .htaccess drin lassen würde, würde die Frage danach außerdem noch zusätzlich kommen.)
Ein externer Link auf solch einer Seite, plus ein Client der den Referrer übertragen lässt - schwups, landet die Seitenadresse in einem fremden Log, und ist damit auch außerhalb als bekannt anzusehen.

Stimmt alles, aber man kann ja auch schrittweise vorgehen. Sessions sind nach einer Woche PHP-Erfahrung kein Problem mehr, und in dieser Woche hat es kaum schon so viel stehlenswertes in der website.

Wenn die Seite in einem fremden log ist, und das nicht gerade ein Link auf ein brasilianisches Internetcasino war (oder auf mich....), sollte es auch noch nicht so extrem gefährlich sein.

Gerade in Weblogs ist es beispielsweise recht beliebt, die "Backlinks" auf der Seite verlinkt anzuzeigen.

Also, ein Link von deiner geheimen Seite auf Weblog xy, und schon taucht deine geheime Seite dort wunderschön verlinkt auf ...

Ich schau mal für ein crossposting, bzw. eine crosspostingantwort.