Se ho capito bene, gli appaiono in chiaro i valori di var2 e var3 nella pagina che contiene il form.

Per rendere sicuro un download (cioe' consentirlo solo a chi e' autorizzato) aggiungi al file php che hai fatto un controllo sull'identita' di chi vuole accedere: fai un sistema di registrazione/login e consenti il download solo a chi ne ha diritto. Se l'utente che accede e' regolarmente registrato, allora procede; se non lo e' il download viene negato.