Hallo,

bitte gestalte deinen Titel etwas aussagekräftiger, sodass ersichtlich ist, dass es um den Schutz von Downloads geht.

Zu 1:
Wenn sich der Benutzer anmelden kann, dann kannst du doch einfach überprüfen, ob er angemeldet ist oder nicht. Das sollte doch kein Problem sein, wenn schon ein Session-System vorhanden ist.

Zu 2:
Schütze das Verzeichnis mittels .htaccess.

Grüße, Matze

Edit: Ah das mit dem Titel hast du wohl selbst gemerkt.