Suppongo che avrai in sessione l'id dell'utente loggato, in modo da riconoscerlo, quindi all'inizio della pagina riservata come prima cosa controllerai l'id se fosse diverso da quello che ti aspetti per mostrare la pagina esegui un redirect verso una pagina "Access denied", altrimenti prosegui normalmente e la mostri.

Per il file vale la stessa cosa, da qualche parte dovrai associare il file all'id del proprietario e quando ne viene richiesta la visualizzazione verifichi che l'utente loggato sia il proprietario.