Servus Juan,

Danke erstmal für die Hilfe.

vielleicht solltest du mit einem Zwischenschritt arbeiten.
Also, erst auf eine Datei springen, mit der du die Session startest und da entscheiden, ob der Download zulässig ist oder nicht.
Ist er zulässig, machst du mit header("Location:...) ein Redirect auf deine showfile.php, ist er nicht zulässig, kannst du z.B. ein Redirect auf eine Fehlerseite machen.

Der Zwischenschritt ist ja eigentlich schon die Datei in der die Links alle aufgeführt werden, die bekommt man nur wenn man eingeloggt ist, wenn ich jetzt nochmal einen Zwischenschritt einbaue ist die Problematik ja genau dieselbe oder (mit einem Schritt mehr halt)?

Man kann ja immer noch die showfile.php direkt in den Browser eingeben und bekommt ohne Probleme die Datei.

Irgendwie muss das doch gehen.

freundliche Grüße,
Daniel