Hi!

Mein Vorschlag wäre einfach die Daten niemals direkt auszuliefern sondern die Umweg über ein Skript zu gehen. Das Skript ist in der Lage zu prüfen, ob derjenige überhaupt an die Daten herandarf. Sämtliche URLs würden dann in etwa wie folgt aussehen:
http://www.example.com/downloader?get=5/1/5.pdf

Das hört sich nicht schlecht an, allerdings verhindert dass den direkten Aufruf noch nicht. Da würde mich interessieren was ein access Fachmann dazu sagt ;-)

Die eigentlichen Verzeichnisse werden entweder außerhalb des document root platziert oder ihnen wird die entsprechende Leseberechtigung entzogen.

Das ist wiederrum eine echt gute Idee. Denn wenn die Dateien überhaupt nicht auf der Festplatte des Servers liegen sondern auf einer von aussen nicht zugänglichen kommt man per Direktlink gar nicht an die Datei... klingt gut! Muss ich mal ausprobieren ob man das PDF dann  temporär kopiert etc.

Grüße