Czy muszę jakoś specjalnie zabezpieczać stronę, żeby nikt nie ukradł z niej plików php? Na stronie jest download, ale działa on na zasadzie sprawdzania id pliku z $_GET i szukania ścieżki do pliku w odpowiednim polu w bazie danych. Może głupie pytanie, ale wolę wiedzieć. Strona stoi na normalnym płatnym hostingu.

Więc zabezpieczaj ścieżkę tak aby nikt nie dostał się do plików .php
Poza tym nigdy nie przekazujesz ŻADNEJ ścieżki do plików poprzez parametry, które użytkownik może zmienić.

1. przeczytaj to: http://forum.php.pl/index.php?showtopic=135788&hl=
2. potem do pliku przekazujesz tylko id (metoda $_GET + filtrowanie intval wystarczą do zabezpieczenia), po tym numerze id wyszukujesz plik i przekazujesz go do skryptu napisanego na podstawie powyższego linka. I tyle.
Ew mozesz pobawić się w mod_rewrite i robić tak:
http://serwer.php/download/id_pliku_z_bazy/nazwa_pliku.html
i pod uwagę bierzesz oczywiście tylko id_pliku_z_bazy