io intendo questo:

dal file php puoi accedere alla cartella proteta e non servono nemmeno le password, ma se crei un file

scarica.php che ci accede, l'utente può utilizzare quello per "fregarti" il file

per proteggere veramente i file, scarica.php prima di restituire il file dovrebbe controllare se l'utente può farlo, per questo io parlavo di login