Както посочва Фабио - по-добре е да държите такива файлове извън уеб root. Но все пак МОЖЕТЕ да използвате .htaccess за защита на файловете. Те ще бъдат гарантирано защитени, освен ако случайно не изтриете .htaccess или системният администратор промени основната конфигурация (което понякога се случва).
Просто поставете .htaccess в директорията, която искате да защитите, и поставете един ред в този .htaccess:
deny from all