Solo come allegato della mail te lo boccerei subito, perchè se per qualche motivo la mail non arriva perdi il file.

Io in genere faccio in modo che tutto ciò che viene inserito dall'utente venga salvato su db o filesystem, la mail è solo un promemoria (che volendo può comunque riportare i dati inseriti) che rimanda al pannello di controllo del sito dove poter reperire nuovamente le info.

In genere io salvo i file in una directory apposita sul server protetta (cioè se uno digita nel browser il percorso corretto al file non deve essere in grado di poterlo leggere).
Sul db salvo il percorso al file, e per permettere la lettura del file da parte dell'utente autorizzato utilizzo readfile solo dopo averne verificato le credenziali.

ciao