доступ к php файлам по прямой ссылке

В iframe ставите переменную. При обращении к файлу проверяете наличие этой переменной. Если ее нет - значит, пытаются взять в обход - и перенаправляете, например, куда-нибудь.

htacces не нужен - все через php в точке/точках входа.

Как вариант, создание промежуточного контроллера - то есть, по ссылке запрашивается файл-посредник, в котором осуществляется проверка передаваемого при запросе контрольного параметра и перенаправление либо на файл, либо куда-то еще.

Как еще вариант - отсутствие прямой ссылки - генерация временной, при сокрытии реального расположения (вариантов достаточно - например, при правильном запросе генерируется копия файла, со своим названием и расположением, которая имеет определенное время жизни и т.д.)