Para bloquear o acesso aos arquivos que estão incluídos em outros e não devem ser acessados diretamente:adicione isso às páginas que são acessadas diretamente, como index.php:
//This will prevent loading the included scripts as stand alone scritps.
define('SECURE', true);
e isso para os scripts que você não quer que seja acessado por ninguém diretamente
//Security check
!defined('SECURE') and exit("You should not be here.<br>Go back to the <a href='index.php'>home</a> page.");
Para bloquear o acesso a qualquer tipo de arquivo para os usuários que não estão logados, adicione isto:
if (!isset($_SESSION['user']))
exit("You should not be here.<br>Go back to the <a href='index.php'>home</a> page.");
