Da er det vel enklest for deg å gjøre slik jeg skrev.
Med mindre dette er filer som ingen andre må få tilgang til. For om man har linken så har man filen(e).
Da kan du linke til filen gjennom en php fil som autentiserer deg som en bruker med tillatelse, og servere de filen dersom du er autentisert.
Da legger du filene utenfor webroot. Da har php-filen tilgang og kan servere den til brukere, men man når de ikke med direkteaksess.