Исправление om-nom-nimouse, (текущая версия) :
А какие варианты решения задачи при условии, что клиенту нельзя отдавать номер файла, а базу данных трогать запрещено?
Более быстрый, но не менее укуренный вариант - проверять, что $_GET['key'] и в самом деле /^[0-9a-zA-Z]{32}$/, после чего делать select по MD5(CONCAT(id, 'security')) = $_GET['key']
Кстати, эта проверка должна быть в любом случае.
Исходная версия om-nom-nimouse, :
А какие варианты решения задачи при условии, что клиенту нельзя отдавать номер файла, а базу данных трогать запрещено?
Более быстрый, но не менее укуренный вариант - проверять, что $_GET['key'] и в самом деле /[0-9a-zA-Z]{32}/, после чего делать select по MD5(CONCAT(id, 'security')) = $_GET['key']
Кстати, эта проверка должна быть в любом случае.