Blocca totalmente l'accesso web alla cartella contenente i file (non gli script PHP).
Poi crea uno script PHP che agisca da "proxy" e permetta ai soli utenti autenticati di accedere ai vari file. Nella pagina del manuale relativa a http://www.php.net/header trovi un esempio fatto per i PDF.