Hola a todos,
al final he solucionado el problema de este modo que voy a explicar, he visto la solucion en un foro que ahora no recuerdo. Creo que me vale, si alguien le ve algun punto de inseguridad que no sea la evidente, que lo ponga, y lo vemosl. Ahí va.

Le paso el nombre del fichero a descargar por parámetro y luego ejecuto esta funcion:

function donwload($fichero){

if(el_usuario_esta_logeado()){
$directorio="directorioconnombreraro";
$name = $fichero;
header("Content-disposition: attachment; filename=$name");
header("Content-type: application/octet-stream");
readfile($directorio.'/'.$name);

} else {

echo('no estas logeado');
}
}

Un saludo, agirrearri.