se hai una procedura di login il file htaccess deve bloccare tutto e poi fai un file con queste operazioni

-controlli che l'utente sia loggato
-se è loggato gli mandi in output il file readfile()
-altrimenti mandi errore

questo file deve essere accessibile via http quindi deve stare fuori la cartella protetta.