un .htaccess avec dedans la ligne
deny from all
ne ferait pas l'affaire ?
(par contre, ce fichier ne doit être mis que dans le répertoire auquel les utilisateurs ne doivent pas avoir accès ; pas dans le répertoire contenant les pages php qu'ils doivent voir => ça ne fonctionnera que si tes pages php "visibles" ne sont pas dans le même répertoire que tes pages php "non visibles")