Разрешить PHP-скрипт в защищенном каталоге

PHP работает за пределами защиты htpasswd веб-сервера - после запуска скрипта он получает полную свободу действий в файловой системе (по крайней мере, над тем, что может касаться идентификатора пользователя/группы веб-сервера). Если вы не укажете путь к прикрепляемому файлу в виде URL-адреса, любые операции с этим файлом будут проходить через обычные операции с файловой системой, а не через веб-сервер, поэтому защита htpasswd не входит в картину.

Если файл не прикреплен, я бы проверил сценарий и посмотрел, указываете ли вы соответствующий путь к файлу и имеет ли идентификатор пользователя веб-сервера права на чтение файла.

Убедитесь, что ваш скрипт обращается к файлам вложений как к путям в файловой системе, например

/var/www/example.com/httpdocs/uploads/foo.jpg

Не как URL

http://example.com/uploads/foo.jpg

Подтвердите, что скрипт может получить доступ к файлу

<?php
if(!is_readable($file)) {
   $user = get_current_user();
   echo 'Error: '.$user.' cannot access '.$file;
   exit();
}
?>