Also ich hab jetzt einiges herumprobiert, aber es will nicht so wie es soll.

Du hast zunächst ein in PHP realisiertes und vermutlich session-basiertes Login-System, das auch so zu funktionieren scheint, wie es soll.

Sauberer wäre es IMO, du würdest auf HTTP-AUTH verzichten,

Das wäre mir auch lieber

dann die Bilder in ein Verzeichnis legen, das mit HTTP gar nicht erreichbar ist (also außerhalb des Document Root) und sie ebenfalls mit PHP ausliefern. Dieses PHP-Script prüft dann die Berechtigung anhand des Login-Status und kann sogar im Fehlerfall ein Ersatzbild ausliefern.

Wie genau stelle ich das an? Unser Webhoster ist 1&1 und ich weiß nicht ob ich das außerhalb des root Verzeichnis legen kann. Das session-basierte Loginsystem das ich verwende funktioniert so, dass ich vor jeder Seite die ich schützen will eine Zeile anhänge

<?php require_once('auth.php'); ?>

Dabei wird in der auth.php geschaut ob eine aktive Session besteht. Diese wurde zuvor in einem Loginfenster (login.php) abgefragt. Falls Name und Kennwort stimmen, wird die Session gespeichert und gilt bis 15min Inaktivität oder bis man auf "Logout" klickt (session_destroy();).

So kann ich eben nur die einzelnen .php Seiten schützen. Also sollte rein theoretisch, so wie ich mir das vorstelle, bei dem Aufruf der Bilder ebenfalls diese auth.php "abgefragt" werden - ob eine gültige Session besteht.

Ich weiß nicht ob das überhaupt so funktionieren kann, wie ich mir das vorstelle aber eine Lösung gibt es bestimmt - wenn auch nicht mit dem HTTP-AUTH via htaccess.

Gruß Maetzzen