header htaccess

[Jürg]

Guten Tag
Folgendes:
1. Ich habe ein htaccess geschütztes Verzeichnis "Dateien". Hier befinden sich div. Dateien, so auch pdf, die nicht mit session geschützt werden können.
2. Ich habe eine per session geschützte Seite "xy.php" im Verzeichnis "da_bin_ich".
3. Auf der Seite klicke ich auf einen Link, der mir (sollte) in "Dateien" die pdf-Dateien öffnet.
4. Die Idee ist, ein User meldet sich an, bekommt ein Kennwort per Mail, gibt dieses ein und kommt auf der mit session geschützten Seite an, dort kann er nun die pdf-dateien auswählen und einsehen. Nach einer gewissen Zeit wird das Kennwort in der DB zur session gelöscht. Mit der Funktion header möchte ich den immer gleichen, effektiven Benutzername und das ebenfalls immer geiche eigentliche Kennwort für die htaccess eingeben. So sieht der Benutzer diese nie!
5. Es tut nicht! Bildschirmmeldung:
Warning: Cannot add header information - headers already sent by (output started at /www/xy.info/doc/da_bin_ich/xy.php:6) in /www/xy.info/doc/da_bin_ich/xy.php on line 1000. Line 1000 entspricht der Zeile mit "header" am Anfang.
6. Was mache ich falsch? Was soll das ":6" in Warning?

PHP-Code:

<?php
if (! session_is_registered('EMail')){ die; exit;}
$command == 0;
?>
----code----
<ul><b>
    <li><?php echo "<a href="$PHP_SELF?command=1">"; ?>xy.pdf</a></li>
    <li>----weitere: command 2,3,4, etc.----
</b></ul>
----code----
<?php
if ($command == 1 ){
    header ("Location: http://Benutzername:Kennwort@www.xy.info/da_bin_ich/Dateien/xy.pdf");
    }
?>

Vielen Dank.