Cita:
Iniciado por Triby 
Lo primero sería evitar revelar la ruta del PDF, mucho mejor si queda fuera de la ruta web.
Normalmente te asignan un espacio en el hosting para tu web, incluyendo servicios (correos, estadísticas, etc.), digamos que es algo como /home/usuario y dentro encuentras directorios:
- mail
- tmp
- public_html
En public_html es donde se guardan todos los documentos de tu web y sería conveniente crear la carpeta pdf en el mismo nivel, quedando automáticamente inaccesible desde URL
Después solo necesitas hacer un script de descarga donde verifiques que el usuario inició sesión y después envías el PDF al navegador usando readfile()
Gracias por contestar, Triby.
Efectivamente tengo los directorios siguientes:
-log
-public_ftp
-etc
- mail
- tmp
- public_html
Mi archivos php, js, css los tengo metidos todos en public_html. No sé si será lo más correcto, pero como tengo sólo 20 archivos lo dejé así.
Dentro de public_html creé las carpetas:
IMAGES, para las imagenes de mi web y
ARCHIVOS, para los pdf.
Está claro que la ruta de los archivos no se ve en ningún lado de mi web, salvo el que está registrado que sí puede verla. Además creé varios tipos de registro, con lo cual uno registrado de nivel 1 no puede descargar lo de nivel 2 ni viceversa.
Lo que pasa es que todo esto no me vale para nada si cualquier persona pone la ruta en el navegador directamente, bien porque le de por probar y acierte o bien porque la sepa y quiera descargar sin logearse.
Como no entiendo tu respuesta te he puesto el esquema completo de mi web a ver si me explico mejor así. Un besito enorme.