para denegar el acceso crea un archivo .htaccess con el siguiente contenido Deny from all y ahora prueba aacceder desde la url veras que no tienes acceso , ahora crea un index fuera de ese directorio

index.php / dir protegido /

y en el index haz un include hacia un archivo de ese directorio y veras que si es accesible

ahora en protegido guardamos el login y todo lo que tengas ,.

entramos en miweb.com/public/login.php y este no contendra las funciones tan solo las llamadas a login.php del sistema y tambien contendra el html

es tan solo un ejemplo existen muchas estructuras , yo uso una basada en el index , solo se accede desde el index a todo el sistema y usa request para pasar controladores parametros etc. por la url miweb.com/controlador/modelo/vista algo asi y el index se encargaria de todo , digamos que welcome es un controlador la url quedaria asi miweb.com/welcome y se conectaria con ese controlador que ya es el encatgado de administrar la pagina , te recomiEndo echar un vistazo a MVC