Perdon, me exprese mal. Queria decir del raiz del sitio web (el HTML o public_html), no del raiz del sistema de ficheros.

Ahora que lo pienso, quizas tambien podrias poner tus ficheros de descaga en un directorio donde este prohibido el acceso GET y POST (creo que lo puedes limitar por .htaccess), y usar el script para seguir la session. Asi nunca veran la URL real del fichero, y si por algun motivo lo descubren, no podran bajarlo.

Sobre el .htaccess, pregunta en el subforo adecuado, y revisa el manual de Apache.

Saludos.