Il metodo standard e':

- metti i file da "proteggere" in una directory a cui impedisci l'accesso tramite direttive del webserver (.htaccess se apache, boh se roba windows) oppure ancora meglio ma non sempre possibile li metti fuori dalla document root
- invece di linkare i pdf linki uno script PHP che - dopo aver verificato l'autorizzazione dell'utente - invia il contenuto del file settando header corretti e usando readfile()

credo tu possa trovare altri messaggi simili, se ne e' parlato decine di volte.