Hi!
Wie Dirk schon sagte - solche Dateien gehören außerhalb des document root, also noch unter das Verzeichnis wo www.deinedomain.de drauf zeigt, das ist der beste Schutz, sofern Du es nicht z.B. durch dämliche PHP-Scripte wie
<?php
include ('../'.$_GET['filename']);
?>
wieder aushebelst (das müssen nicht notwendigerweise Deine Scripte sein, solche Fehler gibt es auch in bekannter PHP-Software wie postnuke...)
Und sonst bleibt Dir nur den HTTP-Zugriff über die Webserver-Konfiguration zu beschränken.
Falls Du Apache einsetzt, sollten Dir folgende Links helfen:
http://httpd.apache.org/docs-2.0/howto/auth.html#whatotherneatstuffcanido
http://httpd.apache.org/docs-2.0/mod/mod_access.html
http://httpd.apache.org/docs-2.0/howto/htaccess.html
Und sonst hat Sven Rautenberg kürzlich was zum Thema geschrieben: [pref:t=82554&m=481162]
Grüße
Andreas
SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/