Ich würde es bei einem Referer-Check durch den Server belassen und per Rewrite-Rule gegebenenfalls auf _kein_ Bild umleiten.

Leider setzt der IE 6.x keinen REFERER mehr.

Den Traffic hat der Nutzer nämlich weiterhin, weil er ja ein anderes Bild schickt,

Mein Bekannter (der mit der Galerieseite) schickt auch kein Bild,
sondern ein header("Location: nirwana.irgendwo.hin");exit(0);

Das mit der IP, den Verschlüsselungen und dem Timeout sind in dem Fall imho nur Ballaststoffe. Eine Sessionfunktion ist übrigens schon in PHP eingebaut. ;)

Das ist allgemein bekannt.

Robert