Não os armazene em um banco de dados. Coloque-os em seu diretório da web e proteja-os usando .htaccess .

Se você quiser autenticar por outros meios, armazene os arquivos em um diretório que não seja acessível pela web, mas que possa ser lido pelo usuário que o php executa.