只有一两个信任的人有密码。htpasswd不在公共html目录中。受保护文件夹中的脚本包含未清理的输入。没有密码，SQL注入是可能的吗？

没有密码，SQL注入是可能的吗？
假设.htaccess和.htpasswd实际上生成了用户名和密码的屏幕，那么它是安全的。如果用户名和密码的组合无效，Apache将返回htp403:Forbidden头，这意味着请求从未传递给PHP。这意味着如果没有有效的用户名和密码，就无法执行泄漏的脚本。
受保护文件夹中的脚本包含未清理的输入。
我认为你应该考虑对输入进行消毒，不管是不是安全页面。