Hola,

"deny from all", dependiendo de cómo lo configures, deniega el acceso directo, desde "afuera".

Si los archivos que mencionas son archivos que hacen parte de la aplicación, no se van a ver afectados, puesto que el servidor Web los llama o procesa localmente.

Pero no me queda claro si lo que quisiste decir era que los formularios Web como tal están dentro de ese subdirectorio /php y aún se puede acceder a ellos a pesar de la restricción "deny from all". Si es así, hay algo mal configurado allí entonces.

Saludos,