Primeiro de tudo, tenho certeza que uma pergunta semelhante será no Stack Overflow, mas eu realmente não encontrei. Provavelmente porque estou usando as palavras-chave erradas. Então não atire em mim por causa disso.

O que a minha pergunta é basicamente, eu quero incluir arquivos php, mas eu só quero que eles sejam incluídos e não para as pessoas serem abertas com o seu navegador. Eles devem receber um erro.

Por exemplo, eu tenho um diretório includes com um arquivo php que contém minha conexão com um banco de dados (senha, etc., perigoso?). Quero ser capaz de incluí-lo, mas não quero que as pessoas visitem diretamente a página.

Colocar uma senha no diretório includes com o htaccess corrige meu problema? Primeiro, achei que não seria, porque seria estranho que páginas fossem incluídas para usuários que não tivessem acesso a ela. Mas parece funcionar, como isso acontece? Existe outra opção melhor? O que os desenvolvedores da Web costumam fazer?

E também posso fazer algo semelhante para arquivos javascript? Meu palpite é que esse não será o caso, mas estou apenas perguntando. O arquivo js contém chamadas ajax para determinadas páginas, mas eu acho que estou feliz se eu puder proteger as páginas php da visita.

De qualquer forma obrigado antecipadamente :)