Definisci una costante nelle pagine accessibili dagli utenti

Codice PHP:
define("IN_MYAPP"true); 
e includi una verifica nelle pagine che non vuoi siano direttamente accessibili

Codice PHP:
if ( !defined("IN_MYAPP") )
{
   die("Vietato l'accesso!");

ovviamente tutti i file devono avere estensione .php