was meinst Du mit offen rumliegen

Ich meine damit, wenn ein Benutzer weiß wo seine Bilder liegen, dann weiß er eben auch wo die anderen Bilder liegen. Ich kann nicht für jeden Benutzer ein eigenes Verzeichnis anlegen.
Klar, eine Benutzer kann nur auf das Bild eines anderen Benutzers zugreifen, wenn er den Dateinamen kennt. D.h. er müsste ihn erraten. Die Dateinamen müssen aber in meinem Fall zwangsläufig eine logische Struktur haben, wodurch das Erraten nicht schwer wäre.
Ich möchte bzw. muss halt maximale Sicherheit erreichen.

Halt, Stop, Zurück. Ich habe mich wohl etwas falsch ausgedrückt. hab grad nochmal drüber nachgedacht in welche Richtung die Lösung für mein Problem gehen müsste.

Die Bilder auf dem Server dürfen nur in auf dem Server liegende html-Seiten bzw. php-Skripts eingebunden werden. Der der diese Seiten angezeigt bekommt darf das entspr. Bild dann natürlich auch downloaden. Allerdings soll kein direkter Zugriff auf ein Bild möglich sein, indem ich den Pfad in den Browser eingebe.
=> Geht wohl stark in Richtung "Bilder schützen" und dafür gibt's ja keine Lösung.

Naja