Безопаснее - держать файл за пределами корня веб-сервера, ибо вдруг на сервере будет nginx перед апачем, а там будет настроена отдача статических файлов мимо апача. В итоге сервер будет этот файл отдавать, не проверяя .htaccess.
Чем больше знаю, тем лучше понимаю, как мало знаю.
Поставьте в имени txt-файла первым символом точку. Для Apache все файлы, начинающиеся с точки, запрещены для просмотра через web (.htaccess/.htpasswd тому пример).
Если нужно закрыть доступ локальному пользователю UNIX-системы, поставьте права доступа rw-rw---- (0660). И пользователя/группу те, с которыми работает Apache, что бы PHP, запущенный из-под Apache с этими пользователем/группой, имел полный доступ к файлу.
Для Apache все файлы, начинающиеся с точки, запрещены для просмотра через web (.htaccess/.htpasswd тому пример).
Это неверно. Именно эти файлы (а чаще все файлы удовлетврряющие образцу .ht* (можно, конечно, задать и образец .*, но я такого пока не встречал)) запрещены для просмотра через web лишь потому, что присутствуют соответствующие указания в файле httpd.conf.
Простой
