como esconder o local da pasta de download real

Eu tenho uma pergunta em minha mente que comomod_rewrite aumenta a segurança.

Eu tenho um arquivo meu php que mostra um arquivo .pdf on-line comowww.exaple.com?id=234 e faz uma consulta ao banco de dados e obtém a localização real da pasta.

a localização real da pasta éuploads/ e eu estou usando algo parecidocomo esconder a localização atual da pasta

Agora eu quero usargoogle docs

 echo "<iframe src=\"http://docs.google.com/gview?url=".root."uploads/myfile.pdf"."&embedded=true\" style=\"width:100%; height:100%;\" frameborder=\"0\"></iframe>

mas eu não quero mostrar o diretório de uploaduploads/ neste url.Assim eu usomodule_rewrite para alterar o nome do diretório paramyfiles/ .

A questão é que quando o usuário altera o diretório parawww.example.com/myfiles/hacking.php do que também irá reescrever parauploads/hacking.php.

Estou permitindo que o usuário faça o upload de arquivos. Embora eu esteja usando a lista negra, mas assumimos que falhas de segurança podem apresentar

questionAnswers(2)

yourAnswerToTheQuestion