Hay varios metodos.
Uno malo, pero que funciona, es guardar los datos como binarios en tu base de datos. Evidentemente, la base de datos solo responderá a una autentificacion valida, que es la que haces mediante php.
Otro que tambien te funciona es copiar el archivo a una carpeta temporal en el servidor, y ofrecer ese archivo temporal al usuario para descargarselo. El nombre del archivo copiado deberia de generalo aleatoriamente, o por lo menos unos numeros al principio. Es decir, cp archivo.zip "/tmp/" + numero aleatorio + "archivo.zip"
Asi evitaras que alguien pueda bajarselo si tiene el nombre del archivo y coincide que alguien tb esta bajandeselo.
Otro metodo seria proteger el archivo mediante .htacces y que para bajartelo el php te creara un gateway. Esto es mas complicado, aunque es lo que se suele hacer. El amfphp hace eso. Aunque tendras que preguntar especificamente por esto o buscar info por google, porque no es algo muy basico que digamos.

Pero lo mejor que puedes hacer es bajarte el postnuke, y mirar como lo hace. Me parece que te tienes que bajar un modulo de descargas (dpdwonloads o algo asi). Al tener el codigo fuente, ves como lo hacen.