@Der Martin

... weil du vermutlich einem Denkfehler aufgesessen bist.

Genau. Der Ort, von wo aus zugegriffen wird, war mir nicht klar.

Entweder geht es dir um die Frage, ob ein PHP-Script auf diese Verzeichnisse zugreifen darf ... Oder geht es um HTTP-Zugriffe auf Ressourcen, die nur im erzeugten HTML-Dokument referenziert werden?

Aha. Das ist also was grundsätzlich anderes.
Vermute ich also, dass Zugriffe des PHP-Scriptes mit z.B. fread, fwrite, include etc. von der .htaccess nicht beeinflusst werden, ich dafür also ohne weiteres "deny from all" setzen könnte.
Wenn jedoch z.B. über form-action ein PHP in /DIR/SUBDIR gestartet wird, wäre das ein HTTP-Zugriff, dessen Herkunftsort der Client ist, den ich aber gerade nicht aussperren will. Hm !?

Was bleibt also, um das /SUBDIR zu schützen ? Könnte ich zunächst die Daten über FilesMatch dem HTTP-Zugriff entziehen. ( Natürlich auch directory listing verbieten und eine leere index.html reinsetzen. )
Lautet also das eigentliche Problem: Wie verbiete ich selektiv das Ausführen des PHP in /SUBDIR, bzw. erlaube es nur über den Weg  einer bestimmten (erzeugten) html beim Client ?
Könnte man über LocationMatch den Namen des aufrufenden scriptes/html filtern ? Wird der überhaupt übertragen ? Wäre wohl auch eher Kosmetik.
Oder man legt den php-code auch als .txt in /SUBDIR ab ind included ihn temporär.

Gruß,