Hallo Andreas,

Du bist der erste, der den Sinn dieses Beitrag's erfasst hat.
Man merkt, im Gegensatz zum manch anderen, dass Du etwas von PHP
verstehst.

Beim meinem Beispiel (http://webdienst.webdienst.de/bildklau/versuch_es_doch_zu_klauen/)
ist ja das Passwort und die Erweiterung für die Bilder nicht bekannt.
Daher werdet ihr auch nicht an den Path (es sei denn ihr hackt den
Webhoster) der Bilder kommen.

Zum Thema IP:
Mit etwas mehr Aufwand, könnte man sich natürlich den gesamten
Adressraum (von einem WHOIS-Server) für den jeweiligen Provider
holen und per Parameter übergeben. Wie Du (als Einzigster) richtig
erkannt hast, können Besucher von anderen Providern das geklaute
Bild nicht sehen.

Gruß Robert