Da fällt mir nur folgendes ein:
Ein Frameset mit der Bestätigungsseite als ein Frame und im anderen Frame das PHP-Script, das die Paßwortabfrage ausführt und den Link auf die Downloaddatei macht. Damit die Bestätigungsseite nicht auch bei falschem Paßwort angezeigt wird, ebenfalls als PHP-Seite mit der Paßwortabfrage ausführen.

Der Rest meines PHP-Skriptes wird ja außerdem auch nach dem setzen der Location mit dem Header-Befehl nicht mehr ausgeführt.

Doch, das Script schon, aber weiterer HTML-Code wird nicht mehr angezeigt, weil ja schon auf anderer Seite.

mfG
Andrea