lo recomendable a mi entender, es poner todos los archivos que no sean parte del sitio visible en una carpeta particular, y a esa carpeta deshabilitarle el acceso en el archivo .htaccess

Así, no hay forma de que los archivos que contiene sean vistos por los navegantes, ya que el servidor les negará el acceso.

Una solución con chmod creo que no te serviría, ya que el usuario "servidor" es el mismo que el usuario "php", por lo que si le negás el acceso al servidor web se lo estás negando también a php.

Si estás pensando en peligros como que alguien entre al servidor, dejame decirte que si alguien entra y puede ver el código fuente de un archivo php, muy probablemente ya tenga el nivel de acceso como para hacer destrozos, sin necesidad de saber los datos que guardás en el archivo.


Saludos.