Lo de codificarlo es porque se van a subir miles de ficheros al servidor y en principio van todos al mismo destino, puede haber ficheros con el mismo nombre. Pensaba que era mejor codificarlo. Echo un vistazo a la función uniqid().

Lo de no abrir la url, es por tema de seguridad. La aplicación tiene usuario-clave. Si subo todos los ficheros a una carpeta (p.ej.: descargas/ficheros/) ¿como puedo restringir que alguien externo no acceda a los ficheros tecleando la dirección en el navegador? ¿Puedo restringir el acceso a esa carpeta?

Gracias. Un saludo