Como señala Fabio, es mejor mantener dichos archivos fuera de la raíz web. Pero aún PUEDES usar .htaccess para proteger los archivos. Estarán protegidos garantizados a menos que elimine accidentalmente el .htaccess o el administrador del sistema cambie la configuración principal (lo que a veces sucede).
Simplemente coloque un .htaccess en el directorio que desea proteger y coloque una sola línea en ese .htaccess:
deny from all
Cómo crear un blog en PHP y base de datos MySQL - Backend
Cómo crear una restricción de clave externa con ON DELETE CASCADE en SQL Server - Tutorial de SQL Server / TSQL, parte 80
Crecimiento del tamaño de la base de datos de SQL Server utilizando el historial de copias de seguridad
Cómo encontrar registros duplicados usando la cláusula Group by y Have en SQL Server - Tutorial de SQL Server / TSQL Parte 132