Najjednostavniji način jeste da u svakom direktorijumu imaš po jedan index.php fajl i taj index.php da bude prazan.. i to je to. To ti je da bez bilo kakvog prčkanja po .htaccess fajlu onemogućiš directory listing.
Apache logika je takva da ako direktorijum ima index.php ili index.html direktan pristup određenom direktorijumu se preusmerava na index.php i sadržina index fajla se prikazuje korisniku... Ukoliko nema index.php/html fajla, onda korisnik dobija listu fajlova koji se nalaze u direktorijumu. Na ovaj način nisi sakrio da direktorijumi postoje, putanja će se prikazati u url bar-u, ali ne i ono šta se nalazi unutar direktorijuma. Što se tiče php koda i php skripti, najbolji i najsigurniji način sakrivanja jeste ssh putanja, pa odatle vučeš sve kroz require/include. Može i .htaccess da učini poprilično povodom toga, ali, ssh pristup je najbolje koristiti. Još jedna stvar koju nije loše uzeti u obzir, jeste da svi direktorijumi koji ne sadrže css, javaskriptu, slike i sve što hteo ne hteo mora da se nađe u html source kodu, započne sa jednom običnom tačkom. Kada u linuxu/apache okruženju staviš tačku pre naziva, taj se fajl/direktorijum smatra za hidden. Postaje hidden, automatski. Pa kad to uradiš, ako recimo nemaš ssh pristup, onda u .htaccess fajlu možeš da zabraniš prikazivanje svih "dot" fajlova, eventualno "laganje" ili redirekciju na 403/404, itd... Ima mnogo načina, sve u svemu...

@sjaker Mislim da je krajnje vrijeme da se pocne razmisljati o OOP MVC pristupu.
Public files ne mogu biti sakriveni (npr. CSS, img itd.) jer im se onda gubi namjena.
Sto se tice listing-a direktorijuma, ovo sto kaze +_- (i sam nauci' dosta toga), a moze i direktivom `Options -Indexes` u .htaccess fajlu.

i meni je prvo palo na pamet index.php, ne treba mi neka vanredna sigurnost jer inace nema sta posebno da se vidi.