Guarda, non sono un esperto su htaccess, ma credo che nel primo caso non fai distinzione su file/cartelle/altro. Con <Files> puoi "limitare" le direttive solo ai files (e anche il tipo).

Per quanto riguarda la sicurezza, quello che vorrei suggerirti è di validare il nome del file in modo da evitare che giochino con i ".." (directory padre) e ti vadano a leggere file che non dovrebbero