Complementando lo que plantea Patriarka (idea que me parece buena) tambien puedes inhabilitar la visualización de errores cuando ya tienes el codigo en producción. Es decir que si el usuario coloca carpetaUno/ejemplo.php y esta relacionado con una base de datos por ejemplo generalmente colocara el error asociado y es ahi donde el atacante aprovechara esta vulnerabilidad. Si deshabilitas en el servidor la visualización de errores por mas que acceda a los enlaces directos no podria ver que ocurre en caso de una ejecución erronea del script.