tramite sempre un htaccess neghi l'accesso da parte di tutto e tutti (ovviamente via apache ... via disco puoi sempre arrivarci e quindi anche tramite php)

cosi crei una cartella non accessibile via web e comunque puoi far scaricare i file tramite lo script

codice:
order allow,deny
deny from all
con questo contenuto dentro un file .htaccess non sarà IN NESSUN MODO possibile accedere alla pagina tramite apache ^^