Buenas,

Según mi punto de vista, lo estás planteando todo mal.
La seguridad no se basa en que carpeta pones una cosas u otra sino en como proteges cada cosa.

Estos archivos de los que hablas tienen que estar públicos para que el navegador les pueda enviar la información por tanto, da igual en que carpeta los pongas porque tienen que poderse "descargar".

Lo que debes hacer es, antes de añadir nada a una base de dato, ejecutar un algoritmo o cosas así, has de verificar que la información que recibes...
a) ... es correcta conforme a lo que pides/necesitas (si necesitas números, verifica que obtienes números y que están dentro del rango deseado, si necesitas texto, verifica que no esté vacío (si no lo necesitas vacío), que contenga un e-mail (si necesitas un e-mail), etc )
b) ... procede de un "lugar" controlado (un usuario que ya ha iniciado sesión anteriormente, una IP controlada, etc)
c) ... no contiene código (si los datos son de tipo texto, verifica que no contengan código SQL (por ejemplo), código HTML (según lo que necesites), etc)
d) ... tiene tantos datos como valores necesitas (si necesitas 4 datos y sólo te dan 2 o 0 o 5 o X, significa que alguien está intentando acceder sin pasar por tu formulario)

Saludos y suerte