und dann echo, oder? So in der art " echo readfile($filename);"

Nein, readfile() sendet es direkt an den Ausgabepuffer.

Muss ich mich da um etwas kümmern, wenn die Bilddatei sehr gross ist, oder kümmert sich da php drum?.

Was soll dabei schiefgehen?

Gibt´s evtl. eine Möglichkeit zu redirecten und dem .htaccess zu sagen, dass wenn der request von dem script kommt, ausgliefert werden darf.

Der "innere" Request durch readfile() geht nicht über die mod_rewrite engine oder eine andere Weiterleitung der .htaccess.

Du musst es selber, serverseitig in php, im script, dass im source des Bildes steht, prüfen. Einfacher wäre es, wenn der User eingeloggt ist, setze eine Session-Variable, wie $_SESSION["user_logged_in"] = TRUE;  und checke sie im Script. Ohne Cookies.

Cheers,
Baba