if($_SESSION[logon][0]){
  $path="/xampp/htdocs/XYZ/".$_GET[path];
  $filename=$_GET[filename];
  header("Content-Type: application/octetstream");
  header('Content-Disposition: attachment; filename="'.$filename.'"');
  readfile($path);
}
else{
  echo error_0("No permission.","index.php");
}
die;

  
Hallo,  
  
sei bitte vorsichtig mit diesem Code.  
Wenn jemand angemeldet ist, kann er Dir jede (!) Datei von Deinem Server runterladen.  
Setzt man z.B. ?path=../../../windows/blablabla.txt wird dieses ohne Check gesendet. Bitte korrigiert mit, wenn falsch liege.  
  
Grüße  
- Steffen