Wenn es per .htaccess und .htpasswd geschützt ist, dann glaube ich nicht, dass du eine Datei dort so direkt rauslesen kannst, da ja der WebServer selber die Restriktion drauflegt und nicht PHP.

Einfache Möglichkeiten wären entweder

• das über mySQL zu regeln
• DirectoryListing auf dieses Verzeichnis zu verbieten
• die Daten einfach verschlüsselt in der Datei abzulegen
• Nur den Hash des Usernamen & Passwortes zu speichern und nicht die Daten selber

Das fällt mir spontan dazu ein.

Grüße,
Mario