Du kannst das Verzeichnis mit .htacess schützen und dann alle Downloads über eine download.php?id=xxx laufen lassen. Da Du die Downloads eh in der
DB verwaltest, sollte da ja auch eine ID sein.
Die Download.php würde dann z.B. so aussehen:
Das hätte auch den Vorteil, dass keiner Deine Verzeichnisstruktur sehen kann ...
Code:
<?
// ggf. Userabfrage
if(empty($_SESSION['userID'])) die('Zugriff nicht gestattet ...');
// Absoluter Dateiname/incl.Pfad
$filename ='/bla/bla/datei.zip';
$saveName = basename($filename);
// Header an Browser senden
header("Content-Type: application/octet-stream");
header("Content-Disposition: attachment; filename=\"$saveName\"");
// Datei an Browser ausgeben
readfile($filename);
?>
[edit=alcaeus]code-Tags eingefuegt. Bitte in Zukunft selbst machen. Mfg, alcaeus[/edit]