sí, cuando dicho archivo posee las contraseñas de acceso a la DB, por lo que cualquiera las vería y puede entrar a la DB, el bloquearlas por apache no impide que php las lea, porque php las lee localmente, en cambio evitas que apache las sirva hacia afuera, de hecho puedes añadirle contraseña y autenticación HTTP sin necesidad de PHP, recordemos que Apache es independiente de PHP