Типичный шаблон проектирования использует фронт-контроллер, чтобы иметь единую точку входа для всех запросов. Имея фронт-контроллер, вы можете точно контролировать то, что видит клиент.
Вы можете настроить это в Apache так, чтобы все запросы проходили через один файл (это было давно, так как я сделал это, потому что теперь я концентрируюсь на Java). Я думаю, что вам нужно было бы посмотреть документацию pathinfo для Apache.
Это может потребовать значительных изменений в остальной части кода вашего приложения. Но код будет более безопасным и обслуживаемым в долгосрочной перспективе.
По этому шаблону я обслуживал изображения и другие двоичные файлы. Это позволило мне легко проверить подлинность пользователей перед тем, как отправлять им файл. Запутывание не является безопасностью, поэтому, если вы полагаетесь на запутывание своего URL, злоумышленник может задержаться, но это всего лишь вопрос времени.
Walter