Вообще от настройки сервера зависит... Но в большинстве случаев достаточно для файла mydata.txt выставить права "600", твой скрипт будет его нормально читать и писать в него, а из броузера его никто не откроет.
Другой вариант, более универсальный - запрети доступ к этому файлу в .htaccess