Danke für die Antworten!
Die Dateien sind für konkrete Personen bestimmt, nicht dynamisch erzeugt und müssen nach dem erfolgreichen Download gelöscht werden. Diese Personen können auf ihre Dateien nur per HTTP zugreifen. Ich darf nur php benutzen und habe im Unterschied zu Server-Programmierern keine weiteren Möglichkeiten.