alloooooora...

se hai utenti registrati e verifichi che l'utente sia loggato... dall'url così fatto non possono accedere...

certo che se dal'url così fatto reindirizzi ad un file... chiunque può trovare l'url di quel file...

la cosa migliore è mettere i file in una directory non accessibile da web... oppure nel database