En tu script de ejemplo el id en realidad hace referencia al nombre real del archivo:

No sé si esté usando una base de datos, por eso dije que sería lo ideal. Colocar así el script lo hace muy vulnerable.

Con un campo id no me refería exactamente aun campo numérico. Puedo hacer que mi campo id que sea el nombre del archivo "simplificado", sin caracteres especiales, y al descargarlo llamar a descargar.php?a=nombre.zip. Esto es muy últil si por ejemplo usamos urls amigables, en cuyo caso podríamos llamar a descargas/nombre.zip. Parecería que se está descargando directamente el archivo, pero en realidad le estoy pasando sólo un id, que sería "nombre" o "nombre.zip". Luego uso este id para buscar en la base de datos (u otro sistema de almacenamiento) y extraer el nombre y la ubicación real del archivo solicitado.