Dentro il file download.php dovresti mettere un controllo per vedere se l'utente è abilitato o meno, se lo è usi header+readfile per inviargli il file, e li specificherai il percorso, per la seconda parte basta che metti quel codice in un file .htaccess da mettere dentro la cartella "download"