फ़ाइलों को वेबूट के बाहर रखें। फिर PHP का उपयोग करके फ़ाइल को एक स्क्रिप्ट के रूप में पास करें। इस तरह कोई भी सीधे फ़ाइल से लिंक नहीं कर सकता है और आपके नियंत्रणों को बायपास नहीं कर सकता है। (स्वाभाविक रूप से सुनिश्चित करें कि स्क्रिप्ट जो उपयोगकर्ता को सत्यापित करने के बाद ही ऐसा करती है, उस फ़ाइल को पुनः प्राप्त करने की अनुमति है)।
नमूना PHP:
<?php
if (!isset($_SESSION['authenticated'])) {
exit;
}
$file = '/path/to/file/outside/www/secret.pdf';
header('Content-Description: File Transfer');
header('Content-Type: application/octet-stream');
header('Content-Disposition: attachment; filename=' . basename($file));
header('Content-Transfer-Encoding: binary');
header('Expires: 0');
header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
header('Pragma: public');
header('Content-Length: ' . filesize($file));
ob_clean();
flush();
readfile($file);
exit;
?>