La seguridad a nivel de directorios no la dá PHP sino tu servidor HTTP que uses .. no sé si Apache? o IIS? .. u otro.

En Apache lo puedes hacer vía .htaccess

Desde PHP .. puedes crear gestores de contenido .. es decir, script's PHP que "entreguen" tu archivo solcitado, y por ende el mismo script puede aplicar todo tipo de seguridad y validación de usuarios.

En este caso .. tus archivos deben ser protegidos a su vez por otro .htaccess que sólo permita acceso desde el própio servidor (para que sólo lo pueda acceder un script PHP que se va a ejecutar ahí mismo) o bien subir tus archivos fuera de tu "document root" para que no queden al alcance de una llamada por el URL tipo: http://www.tal.tal/archivos/archivo.tal

No sé que método te irá mejor para tu caso, el más simple de implementar es vía ".htaccess" (y .htpassword para el tema de crear usuarios que puedan entrar con autentificación HTTP). La versión PHP ofrece otras mejoras al control de que archivos gestionas y de gestión de usuarios preferentemente, pero .. todo ha de pasar por PHP.

Un saludo,