Salva i files in una dir non accessibile dall'esterno (ma deve ovviamente essere accessibile dal webserver), salva i nomifile+permessi+scadenze in db, dopodiché non usare il link diretto ma usa qualcosa del tipo download.php?file che prima di inviarti i dati richiesti controlla le scadenze/permessi salvati sul db. Se sono ok ti manda il file, altrimenti un bel redirect.