Ten en cuenta que los archivos php una vez que el servidor los procesa el código fuente desaparece, con lo que no se puede acceder a los datos de la base de datos.
A lo que se refería the_scorpion no es el acceso al fuente, si no a la petición de las páginas. Si yo hago una llamada a tu página borrar.ph?id=3 y no la requieres autentificación la página se ejecutaría y borraría el id 3 de la base de datos, suponiendo que esa sea la función de borrar.php.
Lo mejor que puedes hacer para poner una protección básica es utilizar la protección de directorios del hosting. Copias todos los archivos en una subacarpeta y la proteges con clave desde el panel de control del hosting.
Se puede hacer con PHP pero requiere más trabajo y no tiene sentido si no usas roles o diferentes niveles de permisos.
Por la conexión a la base de datos si la pones en una carpeta donde no se procese por PHP se podrá acceder al código, en otro caso no será posible, asíq ue no te preocupes si la pones donde están los otros archivos.
Un saludo,
Alejandro