La única forma realmente fiable es colocar la base de datos "fuera" del acceso de nadie, en mi caso, (es un hosting de pago), dentro del sitio hay dos directorios, uno "DATOS" y otro "WEB", y al marcar la dirección www.algo.com va al directorio "WEB" y sus subdirectorios, por lo que NUNCA JAMAS se podrá acceder desde un navegador al contenido de DATOS, ya que la URL apunta SÓLO a WEB.

Mi ASP sí que llega a la base de datos para consultarla y trabajar con ella, con una ruta ../DATOS/base.mdb, pero por más que pongas www.algo.com/base.mdb ó www.algo.com/lo/que/te/dé/la/gana/... no hay forma humana de llegar a ella.

Vale, acabo de ver que era lo que te decía Avelar