Sinceramente, non so se è possibile "scavalcare" la protezione cartella del webserver da php...per questioni di sicurezza io direi di no.
Magari qualcuno può smentirmi, sarei curioso anche io di capire come fare.

Quello che ti ho proposto è una soluzione alternativa. Vedo di spiegarla meglio:

1. La cartella ed i file li proteggi con htaccess, negando a tutti l'accesso.
In questo modo scrivendo sul browser direttamente l'url del file non puoi scaricare nulla.
2. Visto che i file non sono più accessibili direttamente, ti serve uno script php che ti vada a prelevare il file per farlo scaricare a chi è autorizzato. Quindi se prima il link al file era:
www.miosito.it/files/pippo.pdf
Adesso diventa
www.miosito.it/download.php?name=pippo.pdf
Lo script che ti ho postato prima dovrebbe farti scaricare il file, andandolo a prendere nella cartella protetta
(la readfile() lavora da filesystem, quindi non importa del htaccess)
Inoltre, visto che stai usando php, prima di far scaricare il file puoi fare tutti i controlli che vuoi.

Tutto questo vale anche se vuoi listare il contenuto della cartella