Ich meinte, dass diese deswegen verhindert werden muss.
Wenn ich so drüber les, vielleicht doch ein bisschen unklar.

Was (je nach Anwendungsfall) die ganzen Lösungen gemeinsam hatten, war ja die Tatsache, dass die Zugangsdaten auf dem Server liegen, weil eben grade die Übertragung verhindert werden soll.

Eine solche Methode ist eigentlich die einzige vernünftige, wenn die Datei nicht einfach algemein zugänglich sein darf (http, anonymer FTP-Zugang <-> nur über den Client bzw. das PHP-Skript hier).

Damit entfällt dann auch gleich die Speicherung, aber falls man es doch speichern wollte, wäre die Übertragung die Schwachstelle.
Allerdings wird in dieser Variante wiederum, die Adresse des PHP-Skriptes, gespeichert werden müssen, dass ja jedem die Datei auf Anfrage schickt, wenn man dafür keine Überprüfung einbaut, oder? (hier könnte ich mich jetzt irren).