Hi,

speichere bei einem eShop die Rechungen automatisch als PDF ab. Alle kommen in einen Ordner.
Wenn ich sie jetzt einfach schematisch(z.B. nach Rechnungnummer) speicher würde, könnte jemannd der einen Link zu einer Rechung hat, ja theoretisch alle Rechungen ansehen.
Jetzt habe ich mir gedacht, ich gebe einen Dateinamen, der z.B. ein md5-Hash aus Kundennummer, Rechungsnummer und einem nur mir bekannten Wort ist. Reicht das um Unbefugten den Zugriff zu verwehren,

"Security by obscurity" funktioniert *nie*.

Wenn nur irgendwann mal versehentlich das Directory Listing für das Verzeichnis, in dem diese PDFs liegen, aktiviert würde - dann hättest du den Salat.

oder wie würdet Ihr das lösen?

Ausserhalb des Dokument Root, also vor Zugriff per HTTP geschützt, langern - und nur über ein Script, welches vorher Berechtigung prüft, ausgeben lassen.

Die nächste frage wäre dann noch, ob ich bei der Ausgabe des PDF per PHP, über einen Header o.ä. einen anderen Dateinamen ausgeben könnte.

Ja, siehe PHP-Manual bzgl. header.
(Und auch einige weitere Punkte, die man insb. bei PDFs und deren dynamischer Auslieferung an den Internet Explorer beachten muss, werden in den dortigen Nutzerkommentaren angesprochen.)

MfG ChrisB