Hallo Sven,

Wenn sowas funktionieren soll, dann darf die Information, welches Bild ausgeliefert werden soll, nicht zum Client geliefert werden, sondern muß als Session-Variable durchgereicht werden.

Wie irgendwo ;) gesagt, ich verschlüssele ja noch zusätzlich zur Session-Id eine Variable, um zu verhindern, dass irgendjd. die Verschlüsselung nachvollziehen kann. Das sieht eigentlich so aus:

$key = md5(session_id() . $bildbesitzer . $secret . $thumb);

Und show.php prüft diese Variable. Ich wüßte nicht, wieso es da ein Problem geben sollte... Um den gleichen Key zu bekommen müßtest Du alled diese Variablen kennen: die ID, die für das Bild als Besitzer in der DB eingetragen ist, die geheime Variable, den Namen des Bildes und die SessionID, und wissen, dass die Verschlüsselung so erfolgt...

toby