Puoi fare che il tuo php invece di inviare il file all'output faccia una redirection al file da scaricare.

Però non è una buona idea: richiede che il file sia raggiungibile pubblicamente e ne diffonde l'indirizzo ed il nome.
A scanso di download non autorizzati dovresti usare comunque un sistema di link simbolici.

Oppure puoi usare un sistema di modifica dinamica del nome dei file da scaricare, il che ti libera dai link simbolici, ma richiede una programmazione impeccabile per evitare di perderne qualcuno per strada...