Como bien te comenta meru-kun, si estás alojando la web en un servidor de pago, deberías poder establecer distintos permisos a los directorios de tu web, para restringir el acceso mediante contraseña, evitar el listado de directorios, etc... Pero supongo que si estás planteando este problema será porque estás alojando la web en un servidor gratuíto y no tendrás mucho control sobre los permisos que estableces para los directorios. La mayoría de los servidores, aunque sean gratuítos, suelen venir con el listado de directorios desactivado por defecto, es decir, que si alguien escribe la ruta: 'http://www.unaWeb.org/carpArchivos/' no podrá ver una lista de los elementos que hay dentro de ese directorio, y por lo tanto tendría que saber el nombre completo del fichero al que quiere acceder. Si estás alojando en ese directorio que dices tu base de datos (cosa que no te recomiendo), una solución rápida que se me ocurre para que no puedan descargarla es que le pongas un nombre rarísimo alfanumérico a tus archivos. También te recomendaría que aún así, si en la base de datos tienes contraseñas y demás, las guardes encriptadas, no como texto plano, por si alguien se hiciese con la base de datos, que no le sirviese de mucho.