お約束。CSVやPOSTデータなどから受け取ったデータを出力する際はhtmlspecialchars()で包む。

ブラウザがデフォルトで扱う文字セットはサーバの設定によって決まっているので、もし自分の使いたい文字セットがサーバの指定と一致しない場合は.htaccessでAddDefaultCharsetディレクティブを指定する。

例：
AddDefaultCharset Shift_JIS

phpページだけがおかしい場合は原因が違うので、先頭行で、

<?php
header("Content-type: text/html; charset=Shift_JIS");
?>

エラーを出力(.htaccess)

php_flag log_errors 'On'

特定のファイルへのアクセスを禁止(.htaccess)

<Files ~ "\.csv$">
deny from all
</Files>

""内は正規表現が使えるので柔軟に指定できる。