可接受的安全下载文件

我已经多次看到这个问题，但它与强制下载的代码有很大关系，我认为我没有发现任何可能出现的"安全"问题。我希望人们在登录后下载东西（以防止热链接）。我正试图用htaccess和PHP来处理这个问题。PHP文件检查登录，我也有OpenId（一些东西）。下载部分如下：

    $url = "{$_SERVER['DOCUMENT_ROOT']}/myfolder/{$myfile}";
    if(!is_file($url)) { 
   //whatever
    }elseif (is_file($url)){
    switch($url['extension']) {
            case 'pdf': $ext = 'application/pdf'; break;
            case 'zip': $ext = 'application/zip'; break;
            case 'pps': $ext = 'application/vnd.ms-powerpoint'; break;
            case 'pptx': $ext = 'application/vnd.openxmlformats-officedocument.presentationml.presentation'; break;
            case 'docx': $ext = 'application/vnd.openxmlformats-officedocument.wordprocessingml.document'; break;
            default: $ext = 'application/force-download';
        }    
        header('Pragma: public');   
       header('Expires: 0'); 
       header("Content-Type: application/force-download");
       header("Content-Type: application/octet-stream");
       header("Content-Type: application/download");      
       header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
       header('Cache-Control: private',false);
       header('Content-Type: '.$ext);
       header('Content-Disposition: attachment; filename="'.basename($url).'"');
       header('Content-Transfer-Encoding: binary');
       header('Connection: close');
       readfile($url);   
       exit();
     }

Myfolder使用拒绝所有访问的htaccess进行保护。不过，我不确定这是否足够安全，所以我在做一些非常不安全的事情之前会问。我听说人们可以下载"你珍贵的脚本"，但我不知道怎么下载（据我所知，PHP是不可下载的）。你认为我有严重的漏洞吗，除了XSS，顺便说一句，它是在那个页面的某个地方处理的？提前谢谢。