User kann nur ID angeben. Downloadpfad steht im Script, Dateiname wird wie Datei dynamisch generiert und falls ID kein "int-Wert" bzw. nicht vorhanden, bricht das Script ab. Sollte doch eigentlich narrensicher sein, oder?

Sofern den tatsächlichen Pfad dann niemand sieht und es dir reicht, dass jedermann die Files downloaden kann, wenn er die ID kennt - das sollte ausreichen.