Попробую себя в роли телепата: Если тебе нужно просто запретить скачивать файлы напрямую, а не через твой скрипт, то директорию с файлами надо вынести из корневой директории твоего сайта.
Если этого сделать нельзя, то можно просто положить в директорию с файлами файл .htacces всего с одной строчкой:
deny from all
Таким образом, доступ браузеру в эту директорию будет закрыт, а php сможет открывать и читать файлы из этой директории как обычно.