Se i file segreti e l'applicazione PHP si trovano sul server SAME:
Inseriscili al di fuori della "web home".
Ad esempio, normalmente hai una directory come:
%codice%
che mappa a: link
Quello che poi, fai, è mettere questi file sopra la cartella public_html, come:
/public_html/cgi-bin/file.php
Il file /somesecretdb.db
può quindi accedere a somesecretdb.db aprendo solo /public_html/cgi-bin/file.php
Ma il file non sarà accessibile dal "fuori".
Se i file segreti e l'applicazione PHP si trovano su server DIVERSI:
Quindi puoi utilizzare l'autenticazione IP, dove crei una regola di accesso o firewall, che consente solo l'accesso al file dal server che ospita la tua app.
Se il file server deve essere utilizzato solo dal server delle applicazioni PHP, è possibile configurare il firewall sul file server, per passare solo le richieste dal server delle applicazioni PHP alla porta 80.
Se il file server è destinato all'uso pubblico (ad esempio alcuni file devono essere direttamente accessibili per gli utenti) e all'utilizzo privato, puoi invece configurare il server web, usando .htaccess o il file di configurazione, per dire di non consentire richieste per file privati a meno che l'IP di origine sia uguale al server di applicazioni PHP.