Deja tus archivos fuera del "DOCUMENT_ROOT" de tu servidor (suele ser "public_html" o similar .. revisalo en un phpinfo() a tu servidor). De esa forma tendrás que "entregar" tu archivo desde un script PHP que será el que lea el archivo (con readfile() por ejemplo) para entregarlo al cliente (navegador) con cabeceras HTTP que le indicarán si el archivo es para descargar o bien para que lo asocie al plug-in asociado (caso de .pdf por ejemplo) .. Las cabeceras HTTP desde PHP se lanzan con la función header().

De esa forma .. tendras que pasar desde tu pasarela un url tipo:

descargar.php?id=nº .. o similar para relacionarlo con tu BD, indice de arrays .. etc (lógica en general) que hará dicho proceso de descarga ..

Por lo mismo, al ser un script PHP el que va a iniciar la descarga .. puedes validar la ejecución de ese script por la existencia de alguna cookie que crees -antes- de saltar tu pasarela .. o bien pasar otro parámetro tipo "SID de una sesión creada" que tenga cierta validez en el tiempo (tiempo de expiración) o cualquier otro método (no te aconsejo un "HTTP_REFERER" para ver si "viene" desde tu pasarela .. pero podría ser también).


Un saludo,