Comme tout le monde sait , un .htaccess protégeant un répertoire doit être (sommairement) comme ça:

AuthUserFile /repertoire/de/votre/fichier/.FichierDeMotDePasse
AuthGroupFile /dev/null
AuthName "Accès Restreint"
AuthType Basic
Require valid-user

Il ne faut *pas* utiliser de section Limit comme ceci:

<LIMIT GET POST>
Require valid-user
</LIMIT>

Parce que ça ne limite que “GET” et “POST”, mais pas d'autres instructions (présentes et futures) qui pourraient exécuter une requête malgré le .htaccess.

Sources:

• http://sid.rstack.org/blog/index.php/554-summer-blackhat-rant
• http://www.john-jean.com/blog/securite-informatique/faille-dans-la-creation-dun-htaccess-89