come ho già suggerito ad un altro utente del forum, puoi criptare i files durante l'upload e decriptarli in download, forzando il download stesso (cioè senza mettere link diretti al file, ma facendo in modo che l'utente non possa vederne l'URL). se l'hosting te lo permette, metti i files in una cartella non accessibile dal web (quindi non raggiungibile via browser, al di fuori delle directory controllate dal web server). così hai gia un'alta sicurezza e non ti serve nemmeno la criptazione dei files. se invece non puoi farlo, perlomeno impedisci l'accesso ai motori di ricerca alla cartella nella quale uplodi i files, facendo un file robots.txt per evitare che quei documenti finiscano su google.