Защита загружаемых файлов в PHP

Еще лучше — когда пользователь загружает файл, укажите user_ID для файла. Затем, когда вы попытаетесь получить файл, убедитесь, что он принадлежит пользователю.

Так что даже если они угадают другой файл - это не имеет значения!

Вам нужно использовать readfile:

    function user_files($file_name = "")
    {
        // Check user is logged in
        if ($user->logged_in())
        {
           // Check file_name is valid and only contains valid chars
           if ((preg_match('^[A-Za-z0-9]{1,32}+[.]{1}[A-Za-z]{3,4}$^', $file_name)) 
           {
               // Now check file belongs to user - PSUEDOCODE
               if ($filename == $user->records)
               {
                   header('Content-Type: '.get_mime_by_extension(YOUR_PATH.$file_name)));
                   readfile(YOUR_PATH.$file_name);
               } else {
                   echo 'You do not have access to this file';
                }
           }
        }
    }

Есть некоторые проблемы с обходом каталога и т. д., поэтому вам нужно сначала проверить $file_name, как я использовал preg_match