El hacho de hacer un script que administre las descargas... ya es por sí mismo una forma de ocultar la ruta al archivo que se está descargando... claro que si alguien sabe la ruta y el nombre del archivo, podrá descargarlo... pero nadie tiene por qué saberlo ... a menos que los archivos que quieres proteger de la descarga sean muy importantes... en cuyo caso sería mejor que los pusieras fuera de la raíz.

Sobre cómo hacer un pequeño sitema de descargas hay varios posts aquí en el foro donde se ha explicado... (utiliza el buscador)...

Saludos