Как я могу разрешить пользователю загружать файл, который хранится вне корневого веб-сайта?

я разрабатываю систему, которая позволяет зарегистрированным пользователям (кто может быть кем угодно) загрузить файлы. Я заблокировал mime-типы и т. Д., Чтобы попытаться ограничить файлы типами .doc, .docx и .pdf, но для дополнительной безопасности они загружаются в папку за пределами корневого веб-сайта.

Другие пользователи могут затем выбрать скачать файлы. Как я могу позволить им это сделать? Очевидно, я не могу просто вставить ссылку на файл, так как он находится вне корневого каталога. Я не знаю, как добраться до файла! Я предполагаю, что могу использовать функции файла php для доступа к файлу, но как мне затем «передать его» пользователю, который его запросил?

Какие последствия для безопасности все это может иметь?

Спасибо.