QSA ist bei Rewriteketten im Apache ein ziemliches Risiko, weil die meisten Leute einfach nicht wissen wie die Parameter intern in den Programmen verarbeitet werden.
Deswegen sollte mam das sorglose verwenden von $_GET in Programmen unterbinden.

Ich halte es sinnvoller, auf PATH_INFO zu bauen, um die verschiedenen Anwendungen zu routen, notfalls bei Parametern im Querystring diesen zu löschen bzw. den Zugriff auf nicht zuzulassen.
Und den Zugang nicht per Auth Basic vom Apache zu regeln sondern in der Anwendung selbst.