Io comunque fossi in te, metterei i file in una cartella, ne farei l'upload via MySQL, e nasconderei a tutti la collocazione fisica dei file stessi, cioè in una cartella senza pagina di index (per esmepio).
Userei quindi HTACCESS, per vietare l'accesso diretto alle cartelle senza index e permetterei il download solo dopo che uno script PHP abbia recuperato il nome del file dal database.
Grazie alcio74, vado a leggere il link che mi hai postato comunque non ho capito la frase sopra.