Скачивание файла без прямого обращения

function file_force_download($file) {
  if (file_exists($file)) {
    // сбрасываем буфер вывода PHP, чтобы избежать переполнения памяти выделенной под скрипт
    // если этого не сделать файл будет читаться в память полностью!
    if (ob_get_level()) {
      ob_end_clean();
    }
    // заставляем браузер показать окно сохранения файла
    header('Content-Description: File Transfer');
    header('Content-Type: application/octet-stream');
    header('Content-Disposition: attachment; filename=' . basename($file));
    header('Content-Transfer-Encoding: binary');
    header('Expires: 0');
    header('Cache-Control: must-revalidate');
    header('Pragma: public');
    header('Content-Length: ' . filesize($file));
    // читаем файл и отправляем его пользователю
    readfile($file);
    exit;
  }
}

Здесь $file - путь к файлу (например, "sources/file.zip"). Источник и другие способы

Добавление по безопасности от заботливого @TotalPusher

Добавить проверку на ../, или берите только имя файла pathinfo($_GET['file'], PATHINFO_BASENAME), и на одну уязвимость будет меньше.

Попробуйте полный путь ввести, если все запросы не слиты на определённый файл, то может получиться хоть и 403