Mam problem, otóż jak wiadomo gdy się wejdzie z adresu przeglądarki do /templates/nazwa_pliku.tpl to wyświetli się jego cały kod, no i tu moje pytanie. Jak czemuś takiemu zapobiec?

Poprzez .htaccess możesz to zrobić:

umieszczaj templaty w katalogu poza htdocs

A ja nie ma takiego katalogu i co?

Wystarczy chyba taki wpis w katalugu gdzie masz tpl:

Działa ten z Deny from all psuje wszystko, bo nie pozwala nawet skryptowi na dostęp do tych plików

No bo nie chodzi o to, żeby katalog się tak nazywał. Po prostu chodzi o katalog który udostępnia Twój (czy inny serwer). Umieszczaj szablony podan nim. Możesz swoją drogą trzymać szablony w bazie danych (tak - smarty to obsługuje).

ustaw chmod na pliki tpl by tylko 'localhost' mógł z nich korzystać.

Chmodem tego się nie ustawi .

Nie każdy hosting takie coś posiada Zresztą na OpenBSD domyślnie jest chroot i nie pozowala Ci wyjść z tego katalogu przeznaczonego wyłącznie na www. Co do przechowywwania w bazie to nie jest to zbyt optymalne ani wygodne, ale dzięki za informacje, że istnieje taka możliwość bo nie wiedziałęm

Rzeczywiście, mój błąd, palnąłem coś, co przeczytałem w innym źródle bez sprawdzenia (chodziło mi o chmod 770 - rzeczywiście nie działa).
Za to sprawdziłem ten sposób, działa dobrze:
tworzymy plik .htaccess z zawartością:

Smarty działa bez problemu, a gdy próbujemy odpalić plik tpl (albo w ogóle wejść do danego folderu) dostajemy "500 intrnal server error" - możemy także zabezpieczyć tak inne foldery (cache, template_c itp, itd).