Supongo que te referis a que, aunque tengas un login, alguien que se registra puede copiar el link de un archivo y luego pasarselo a alguien que no esta registrado, o publicarlo en un foro...
La solucion a eso es que nunca muestres la ruta del archivo, sino que la ruta sea un PHP que redirecciona con
Código PHP:
header("Location: ruta/archivo.txt")
a la ruta real del archivo.
A este archivo redireccionador, le pones seguridad, si no estas logeado te patea, si estas logeado te redireccion...
Código PHP:
if($_SESSION['login'])
{
header("Location: ruta/archivo.txt")
}
else
{
header("Location: logeate.php")
}
Como el PHP corre del lado del servidor, no van a poder saber la ruta del archivo ni siquiera viendo el codigo fuente...
Espero que te sea de ayuda, saludos!