büyük ihtimalle sorguyu yanlış çeviriyorsunuz. Kodu paylaşır mısınız? Ek olarak, bu görünmeme olayı sadece HTML Kodlarıyla yapılıyorsa burada bir zafiyet söz konusudur. PHP olarak $_FILES komutunda da engelleme yapmalısınız.
Üyenin giriş yaptığı sayfada eğer kullanıcı adı ve şifre başarılı ise $_SESSION["yetki"]==true; olarak tanımlıyoruz
if(isset($_SESSION["yetki"]) && $_SESSION["yetki"]==true ) {
echo 'indir butonu buraya';
}