speichere bei einem eShop die Rechungen automatisch als PDF ab. Alle kommen in einen Ordner.

... auf den der Benutzer direkt keinen Zugriff haben sollte.

Jetzt habe ich mir gedacht, ich gebe einen Dateinamen, der z.B. ein md5-Hash aus Kundennummer, Rechungsnummer und einem nur mir bekannten Wort ist. Reicht das um Unbefugten den Zugriff zu verwehren,

Nein, das ist eine Lösung »von hinten durch die Brust ins Auge«.

oder wie würdet Ihr das lösen?

Ein Script anlegen, dass das angeforderte PDF durchgibt, wenn die entsprechende Benutzer-Authentifizierung stimmt, das Dokument also zum Benutzer gehört.

Die nächste frage wäre dann noch, ob ich bei der Ausgabe des PDF per PHP, über einen Header o.ä. einen anderen Dateinamen ausgeben könnte.

Ja, mit dem HTTP-Header
Content-Disposition: attachment; filename=dateiname.pdf

Mathias