Som Fabio påpeger - det er bedre at holde sådanne filer ude af webroden. Men du KAN stadig bruge .htaccess til at beskytte filerne. De vil være garanteret beskyttet, medmindre du ved et uheld sletter .htaccess, eller sysadmin ændrer hovedkonfigurationen (hvilket nogle gange sker).
Indsæt blot en .htaccess i den mappe, du vil beskytte, og indsæt en enkelt linje i den .htaccess:
deny from all