En tu ejemplo, si:

raíz/contacto.php

es el formulario al que se accede públicamente, el que se puede visualizar y en donde se ingresan los datos, y si:

php/contactar.php

es el script PHP que en realidad se encarga de procesar el formulario, bien sea para enviar la información a una base de datos, o a un correo electrónico, etc., entonces todo está en orden y de acuerdo con lo que expuse anteriormente.

En cambio, si lo que dices es que se puede acceder públicamente a:

php/contactar.php

a pesar de la restricción "deny from all" que tienes en el subdirectorio /php entonces sí hay algo que no está del todo bien configurado.

Saludos,