Algumas dicas de como proteger o acesso as pastas ou arquivos dentro de diretorios:

1- Para bloquear a listagem de conteúdo na sua conta de hospedagem, siga os passos abaixo:

1.1 – Abra o bloco de notas
1.2 – Digite o seguinte conteúdo “Options -Indexes” e dê dois enters
1.3 – Vá em arquivo > salvar como
1.4 – Em “Salvar como tipo” selecione “Todos os arquivos”
1.5 – Em nome do arquivo, digite “.htaccess”
1.6 – Faça upload do .htaccess para sua pasta public_html

A listagem de conteúdo através de um navegador em todas as suas pastas será bloqueada.

2- Solução simples porem bem rápida, usar a permissão 771 nas pastas.

3-  Colocar uma index dentro da pasta (solução simples e eficaz)

4- Via pasta de validação

1º PASSO – Você deve criar a página index.php, index2.php e validacao.php

NOTA: Poderiamos fazer esta validação por cookies, mas escolhi fazer com sessões, pois é mais seguro, e bem mais complicado para burlar nosso código.

2º PASSO – Há pagina index.php é o nosso cara, ela é quem vai determinar o acesso a outra, que chamamos de index2.php. Antes de qualquer código na página você vai inserir o seguinte código:

<?php
//Iniciaremos a criação de sessoes
session_start();
//Agora damos nomes as sessoes e valores, caso queremos colocar
$_SESSION[‘IDpagina’] = “index”;
$_SESSION[‘Chave’]    = “true”;
//Você pode dar o nome que quiser para as sessoes e o valor que quiser também.
?>

3º PASSO – Agora iremos criar a nossa página dependente que é a index2.php, que poderia ser qualquer nome, nela a única coisa que você vai fazer é dar um REQUIRE_ONCE que significa, arquivo obrigatório para execução da página, este aquivo é o validacao.php. Você pode me perguntar, porque não colocar o comando direto na index2.php? Bem, você pode fazer isso, mas já estou prevendo que futuramente você vai querer usar validação para mais de uma página, e quando isso acontecer, você já sabe trabalhar com o método adequado, até porque, se você precisar mudar alguma sessão na hora de setar, você vai ter que mudar também na validação, o que lhe poupa tempo, pois você irá mudar em apenas 01 arquivo. Imagine ter que mudar em 300 arquivos a mesma coisa… Ninguém merece.

Portanto, no arquivo index2.php que é o que precisa de validação, insira antes de qualquer código o código?

<?php
//Com o comando abaixo estamos dizendo ao sistema que se não achar o arquivo validacao.php, ele para a execução imediatamente
//NOTA: Quando você da um REQUIRE_ONCE ou INCLUDE, todas as variaveis, funções, comandos etc existentes neles, servem para a pagina que o chama,
//por isso a importancia de nunca criar a mesma variavel para informações diferentes.
require_once(‘validacao.php’);
?>

4º PASSO – Agora na página validacao.php, iremos validar, ou verificar se as sessoes e valores criados na pagina index.php existem no servidor, caso sim, continua da pagina na qual é chamada o arquivo validação que neste caso é index2.php, senão, redirecionamos para a página index.php. no arquivo validacao.php deve ter apenas este código:

<?php
//Iniciamos a leitura de sessoes
@session_start();
//Agora fizemos as perguntas, if(se) isset(existe) $_SESSION[‘IDpagina’] &&(e) $_SESSION[‘IDpagina’] == “index” e assim sucessivamente
if(isset($_SESSION[‘IDpagina’]) && $_SESSION[‘IDpagina’] == “index” && isset($_SESSION[‘Chave’]) && $_SESSION[‘Chave’] == “true”)
{
//Aqui eu coloco os valos das sessoes em variavei, nas quais eu posso usar pelo site, poderia ser o nome, email de quem se logou ou preencheu algum formulário
$IDpagina = addslashes($_SESSION[‘IDpagina’]); //addslashes filtra o sql injection, ajuda na segurança de rakers
$Chave    = addslashes($_SESSION[‘Chave’]);//Lembrando que você deve informar os nomes das sessoes exatamente como criou elas
//Agora dou um echo informando as sessoes, ou deixo sem nada
echo $IDpagina;
echo “<br />”;
echo $Chave;
}
else
{
//Caso as sessoes não existam, ou seus valores não conferem, redirecionamos
header(“Location: index.php”);
}
?>

Fonte: codigofonte