si te he entendido bien, todo eso ya lo he hecho. Todas las variables que paso por URL estan encriptadas. El problema es que al poner http://dominio/carpeta/fichero, al no ser "fichero" un script php, es apache quien lo sirve al cliente (si existe), y no el interprete php.

Es como si ponemos http://dominio/carpeta. En este caso Apache muestra el contenido de la carpeta a menos que pongamos "options -indexes" en la configuracion de apache.

Por otro lado, al usar thumbs, es facil que el usuario vea las rutas que utilizo (aparecen en el codigo fuente de la pagina que recibe el usuario en <img src="ruta">).

Por ejemplo, si esta autenticado como "usuario" y ve en el cod fuente que tiene acceso a "/usuario/thumbs", le basta con poner http://dominio/usuario/fichero.jpg (o probar cosas del tipo http://dominio/administrador/ficheros.xxx) y acceder a ficheros que no deberia ver (incluidos txt, doc, o lo que sea).

Por eso quiero restringir el acceso a los ficheros a nivel de apache (si no estas autenticado en apache no puedes acceder a ciertos ficheros o carpetas, segun el fichero .htaccess). Pero no se como pasar a apache los datos de loggin recibidos por un formulario en php, es decir no se como logarme en apache desde php.

Muchas gracias