Hola RobertoSC,

La forma mas seguro es copiarlos a un directorio que no sea accesible, si tu ves en tu server, tienes una carpeta llamada www, o public_html, si tu copias vía PHP estos archivos a otra carpeta que no este dentro de esta carpeta www, estarán mucho mas seguros, y la forma de leerlos, puedes hacerlo vía PHP, lees el archivo y verificas la sesión, y posteriormente haces un readfile para que el usuario descargue el archivo.

Saludos.