De esta forma te ves obligado a colocar tus archivos en el "Document root" de tu servidor (HTTP) .. es decir, los archivos quedan expuestos en forma directa por una llamada por http:// .. simple. (OK, Ok .. podrías proteger ese directorio con un .htacces para sólo permitir accesos desde las páginas de tu própio sitio y no link's directos .. un "hot link" protección o algo así).

Así no puedes implementar ningún tipo de seguridad "básica" para que no accedan directamente al archivo . .pues, se trata de que los archivos los coloques en el servidor -fuera- del "document root" (ejemplo: si tenemos un típico: "public_html" donde se nos apuntan el "document root", sería cosa de colocar los archivos por encima de este directorio ..).

Bajo esta estructura .. sería "PHP" quien lea el archivo de su ubicación física (vía readfile() por ejemplo) y entregarla al buffer de salida vía cabeceras HTTP (con header() y las que correspondan).

Un saludo,