- fai caricare i file in una directory fuori dalla document root (soluzione ottimale) oppure protetta da protetta da .htaccess in modo che il webserver neghi l'autorizzazione al download tramite link diretto
- il download si fara' tramite un file php che dopo aver verificato le credenziali dell'utente, e inserito i corretti header, inviera' i dati leggendo il file in questione tramite readfile()