Ich könnte zwar in der index.php auslesen, welche Datei gefordert wurde, und die dann per file_get_contents() ausgeben, aber das ist von hinten durch die Brust ins Auge^^

Na also da hast du doch schon die Lösung. Zudem kannst (nicht musst) du einen Logger bauen der mitloggt welche Datei wie oft downgeloadet wurde. Und du kannst das Ganze über einen Login laufen lassen - also man darf die Datei nur downloaden wenn man eingeloggt ist (wo auch immer).

Ich arbeite aktuell bei einem Unternehmen wo ich einen anderen Entwickler abgelöst habe. Der hat alles erdenkliche in die htaccess gehauen. Es gibt htaccess Dateien die haben locker 200 Zeilen mit Umleitungen. Da geht es wild hin und her. A leitet auf b, b leitet auf c. c gibt es nicht und eine 404 Seite geht auf :D. Dann gibts noch hammerlogiken das alle Anfragen mit zahlen auf eine Datei geleitet wird - ausnahmen wenn die Datei mit t anfängt. Mit anderen Worten selbst dedlefix wäre überfordert und das will was heißen.

Deshalb ist mein Ansatz die htaccess möglichst sauber zu halten. Das hat den Vorteil:
1. dass du die Datenbank als Administrationswerkzeug heranziehen kannst.
2. Loggs mitlaufen lassen kannst.
3. Rechtevergabe.
4. Unittests.

Natürlich gibt es auch den Nachteil, dass immer eine Programmiersprache angesteuert werden muss, was man mit ein wenig Performance bezahlt.

Gruß
Mittelstand und Htaccess entlastender
T-Rex