Som Fabio påpekar - det är bättre att hålla sådana filer borta från webbroten. Men du KAN fortfarande använda .htaccess för att skydda filerna. De kommer garanterat att vara skyddade om du inte av misstag tar bort .htaccess eller systemadministratören ändrar huvudkonfigurationen (vilket ibland händer).
Lägg bara in en .htaccess i katalogen du vill skydda och lägg en enda rad i den .htaccessen:
deny from all