con un file .htaccess (se puoi usarli)
codice:
<Files ~ ".+"> 
Order allow,deny 
Deny from all 
Satisfy All 
</Files>
in questo modo nessun file della cartella è scaricabile via http ma con un file php puoi accedere

quindi con php controlli che sia loggato e se è ok gli mandi il file