Doğrudan erişim engellenemiyor. .htaccess ile dizin indexlemesini engelledikten sonra, indir.php diye bir dosya olusturursunuz bu dosyaya isteğinizi get ile ve üye girişi yapmışsa sağlarsanız. İndireceginiz dosyaların veritabanindan çağrılan id lerini get ile indir.php dosyasina gonderirseniz isimlerini gizlemiş olursunuz. Dosya ismi indirildiginde düzgün görüntülenir. Hiç vt de tutmayip dosya adini md5 ile hashleyerek de get ile gonderir dogru dosyayi indirtebilirsiniz. Bu sekilde dosyanin hangi dizinden indiği, hangi adı taşıdığı aşikar olmayacaktır. Klasör adi desifre oldu ise de adı degistirirsiniz tüm bu islemlerden önce. İndir php dosyasında oluşan get parametresi almış linkin direk kopyalanarak browserda calistirilmaya calisildiginda inmemesi icin de refferer kontrolü yaparsiniz olur biter.