小さい会社で顧客向け会員サイト(PHP)の運営管理をしています。

会員向けにそれぞれの会員毎の取引状況が記載されたpdfファイルをダウンロードできる機能を実装しようとしています。

ダウンロードボタンに直にファイルのurlをリンクさせてしまうとファイルの保存パスが分かってしまいます。ファイル名を長い文字数のランダムなものにしてもパスが分かってしますとセキュリティ上かなり問題があり、どうしていいものか思案にくれています。

会員の情報やpdfファイルの紐付けのデータベースはMySQL、使用言語はPHP、セッション管理はサーバーサイドで行っています。

パス名を秘匿して強制ダウンロードさせたり、ある条件が整わないとpdfファイルへアクセスできないといった方法をご教示いただければ助かります。

宜しくお願いします。