poi se oltre a quanto suggerito da Alcio74 vuoi stare ancora più tranquillo, i file mettili in una cartella che sia fuori dalla DocumentRoot di Apache, così il malintenzionato avrà seri problemi ad arrivarci... Lo script invece ci arriverà, dato che sarà nello stesso filesystem, dovrai solo dargli il percorso corretto