la cartella la metti inaccessibile dall'esterno..e ne fai una

poi fai una pgina in php per gestire il download dei file, dove quindi puoi facilmente consentire il download dei file giusti, controllando id utente etc e controllando nel database che l'utente possa scaricare il determinato file