Lo primero sería evitar revelar la ruta del PDF, mucho mejor si queda fuera de la ruta web.

Normalmente te asignan un espacio en el hosting para tu web, incluyendo servicios (correos, estadísticas, etc.), digamos que es algo como /home/usuario y dentro encuentras directorios:

- mail
- tmp
- public_html

En public_html es donde se guardan todos los documentos de tu web y sería conveniente crear la carpeta pdf en el mismo nivel, quedando automáticamente inaccesible desde URL

Después solo necesitas hacer un script de descarga donde verifiques que el usuario inició sesión y después envías el PDF al navegador usando readfile()