Muchas gracias, cluster. Te las sabes todas! Ahora CASI lo tengo todo, pero hay un último detalle que me vendría muy bien: ¿sabes cómo se puede prohibir el método GET sólo si se hace desde fuera de localhost?

En .htaccess hago lo que has comentado, pero no sé por qué se interpreta que el cliente php no es localhost y me deniega el archivo restringido. Si quito el archivo .htaccess se baja bien, y en él tengo exactamente lo que pones en el msj #4 de este hilo.

He pensado que si se ignoran todos los get, salvo el que pone mi archivo index.php al llamar a download.php?file=dibujo.zip, nunca podrá nadie usar la URL para descargarse nada escribiendo lo mismo que escribe mi script php, porque sólo "se le echaría cuenta" al GET si prodece del index.php, no si se ha escrito como URL.

En php.ini puedo quitar la letra "G" de la directiva "variables_order", así nunca se podría hacer GET, pero entonces ni siquiera podría hacerlo mi index.php. Lo que estaría bien sería algo del tipo:

if(127.0.0.1)
variables_order = "EGPCS"
else
variables_order = "EPCS"

en el php.ini.

¿Puedo hacer algo? ¿Por qué no me funciona el .htacces (siempre me deniega el acceso incluso siendo localhost)?

Saludos y gracias!