Tendrías que crear un "lanzador" para tus archivos pdf. Es decir .. que sea un script PHP el que entregue el PDF al navegador que lo solicita (cliente en general).

Para eso requieres (ingredientes):
1) uso de cabeceras HTTP adecuadas vía header() (content-type: application/pdf o algo así concretamente)
2) leer tu archivo desde el sistema de archivos y entregarlo al buffer de salida de PHP. Esto lo pueds hacer con readfile() directo.

www.php.net/header
www.php.net/readfile

Así .. ese script quedará con una llamada tipo (desde tus links):

descarga_pdf.php?archivo=documento.pdf

y tu "descarga_pdf.php" tan sólo toma la variable "archivo" para usarla en readfile(). Ese script ya puedes protegerlo con tu validación de sesiones.

Eso sería lo "básico" .. recuerda que debes validar que archivos puedes "descargar" .. por qué por el mismo médio que descargas un documento.pdf .. podrías llamar a un config.php tuyo de tu aplicación y así obtener tu código "fuente" PHP de tus scripts con datos "sensibles" (como contraseñas de acceso a tus BD ..etc).

Un saludo,