例えば以下のような構成を考えます。

[path]
/index.php : 公開WEBページ
/lib/sub.php : ライブラリ

[index.php]

<?php
require_once('lib/sub.php');
…

一般的にはhttpdの.htaccessファイルやPHPのget_included_files()関数を使って防止することになるのでしょうが、GAE for PHP環境ではapp.yamlの設定（＋α）で防止することができます。

[app.yaml]

handlers:
- url: /lib/.*
  script: /404.php

- url: /(.+)\.php$
  script: \1.php

[404.php]

<?php
header('HTTP/1.1 404 Not Found');
?>
<html><head>
<meta http-equiv="content-type" content="text/html;charset=utf-8">
<title>404 Not Found</title>
</head>
<body text=#000000 bgcolor=#ffffff>
<h1>Error: Not Found</h1>
<h2>The requested URL <code><?=$_SERVER["REQUEST_URI"]?></code> was not found on this server.</h2>
<h2></h2>
</body></html>

GAEのapp.yamlは、アップロード対象ファイルの特定とバージョニングに加えてルーティングを指定するファイルですが、そのルーティング機能で「/lib/の下をアクセスされたら代わりに/404.phpを実行する」と指定します（/直下のPHPスクリプトはそのまま実行）。
app.yamlによるルーティングはrequire()には適応されませんから、この指定をしたことによる既存のPHPスクリプトへの変更は一切不要です。

そして/404.phpの中身は上記のようなPHPスクリプトとすることで、GAEが本来出力する404ページのそれをエミュレートします。
$_SERVER["REQUEST_URI"]はルーティングで曲げられる前のパスが入っていますから、あたかも直接指定されたURLが404であるように見えます。
これで攻撃者には/libの存在そのものが隠ぺいされますから、安心してライブラリを置くことができるというわけです。