Moin!

Es handelt sich hier um eine angebotene Datei, deren Download
aber über ein PHP-Skript laufen soll, damit die Anzahl der
Downloads nicht unbekannt bleibt.  ;-)

Es gibt Logfiles, die die Auslieferung von angeforderten Dateien bestens dokumentieren.

Es soll auf keinen Fall möglich sein, die Datei anders als über
dieses PHP-Skript zubekommen.
ASAIK muss die Datei dann auf dem Server irgendwo über dem
Root-Verzeichnis gespeichert werden.

Nö. Ein Verzeichnis, in dem .htaccess sagt "Deny from all", reicht aus.

Also, wenn die Startseite meines Prokets im Ordner WWW liegt,
würde ich im Verzeichnis überhalb WWW einen neuen Ordner
"Downloads" erstellen und die Datei dann darin speichern.

Meine Frage ist jetzt nur:
Wie muss die Weiterleitung per PHP aussehen, wodurch muss
hier xxx ersetzt werden?
   header("Location: xxx");

Du kannst keine Weiterleitung nehmen. Weiterleitung würde nur funktionieren, wenn die Datei (was sie nicht soll) per HTTP auch direkt erreichbar wäre.

Natürlich kannst du es dir leicht machen, diese Bedingung ignorieren und einfach mit einer Weiterleitung arbeiten. Das macht viele Dinge einfacher.

Ansonsten findest du Downloadauslieferungsskripte mit Sicherheit massenweise im Archiv.

- Sven Rautenberg