Ho risolto. Secondo te una cosa di questo tipo è sicura?
codice HTML:
<p>Codici segreti:
<form action="?scarica_file_privato" method="post" enctype="multipart/form-data">
<input type="hidden" name="link" value="download/file.zip">
<input type="submit" name="scaricare" value="Download"/>
</form>
(<strong>1 MB</strong>)
</p>
lo script ragiona in questo modo: se c'è una variabile get preleva il value con il metodo post (la url) e fai il download
ciao e grazie