Solche sensiblen Dateien sollten nach Möglichkeit erst gar nicht unterhalb vom DocumentRoot abgelegt werden, also besser oberhalb von public_html, htdocs, whatever.

Ist aber nicht immer möglich oder sinnvoll. Wenn ich z.B. irgendeine PHP-Anwendung verteile, will ich nicht, dass man zur installation erstmal verschiedene verzeichnisse überhalb der htdocs usw. anlegen muss. Mit .htaccess finde ich das eigentlich für unkritische Anwendungen ausreichend sicher.