Moin!

Die Fotos können nicht einfach in ein Verzeichnis, das unterhalb des Documentroots liegt, denn dann könnte ja jeder durch Eingabe der URL auf die Fotos zugreifen.

Vor was genau hast du Angst? Bzw. vor was genau willst du dich bzw. die Bilder schützen?

Zugegeben: Wenn du den Zugriff, der über eine korrekte URL erfolgt, verhindert willst, wirst du diesen Zugriff auf ein korrektes Passwort prüfen müssen. Sowas geht bei einem Session-Selbstbau nur mit einem weiteren PHP-Skript, welches (wie von Thomas vorgeschlagen) das Bild dann direkt an den Server sendet und vorher die Authentifizierung prüft.

Allerdings schützt das nur die Bilder, die sich auf dem Server befinden. Es ist ein leichtes für den authentifizierten Besucher, die Bilder zu speichern und dann weiterzugeben. Genauso wie eigentlich auch nur durch authentifizierte Besucher die korrekten URLs weitergegeben werden könnten, über die der oben skizzierte unauthentifizierte Zugriff erfolgen könnte. Das Bilderverzeichnis selbst kann man "undurchsuchbar" machen ("Options -Indexes" in der .htaccess), dadurch kann es keine Zufallsfunde geben.

3. Fotos in ein per .htaccess geschütztes Verzeichnis, aber ich bin mir nicht sicher, ob das PHP Skript in dieses Verzeichnis reinkommt. Ich möchte nicht, dass die User nochmal einen Benutzername und Passwort eingeben müssen

.htaccess-Authentifizierung hätte aber durchaus Vorteile, weil sie eben für einen gesamten Verzeichnisbaum-Abschnitt gilt, ohne dass man nochmal extra in Skripten die Authentifizierung prüfen muß. Sowas ist die zu bevorzugende Methode, und sie kann sogar von PHP angestoßen werden, wenn PHP als Server-Modul und ohne safe-mode-restrictions läuft.

- Sven Rautenberg