Решить можно проще! Фалы лежат не в web директории, пути к файлам в базе, так можно ограничить доступ пользователей, будет просто генирироваться адрес, ну например учитывающий кукки, потом уже скрипт проверяет этот адрес на соответсвие, и т.д. Может я и не прав но это самый надежный способ!