A todo esto .. es ALTAMENTE recomendable que "pongan" esos archivos en un directorio FUERA del "documentRoot" .. osease, en servicios de hosting suele ser el "documentRoot" de tu sitio el /www/ y arriba tinen el cgi-bin y alguno mas .. bien, sería crear un directorio ahí "arriba" del /www/ para que ese archivo NO quede accesible via una llamada directa tipo: http://....

Tambien Apache dispone de sus .htaccess para proteger directorios y archivos de llamadas externas (con lo cual solo quedarían accesibles via llamadas desde PHP por ejemplo .. haciendo un readfile() y entregandolo con las cabeceras HTTP que pusieron) .. NO es necesario que el nombre del archivo o el archivo en sí está en una BD .. SOLO el directorio ha de estar protegido via .httacces o bien arriba del "documentroot".

Un saludo,