Hallo,

Das bezieht sicht ja direkt auf mein Problem. Die Bilder sind nur über die PHP Seiten geschützt, aber per direktem Pfad dennoch ungeschützt erreichbar.

das heißt, sie sind eben nicht geschützt. Deswegen hatte ich ja vorgeschlagen, sie irgendwohin zu verlegen, wo sie nicht durch einen HTTP-Request erreichbar sind.

Das kann man natürlich statt mit realem (wie im PDF gezeigt) auch über "virtuelle Pfade" im HTTP-Request auch machen. In dem Fall kann man die Antwort einem für den 404er konfigurierten Skript überlassen, welches sich die Session und den Request anschaut, also prüft ob es eine zum virtuellem Pfad gehördende Datei gibt und natürlich die Berechtigung hinterfragt und den Krempel (insbesondere Grafiken) heraussucht und mit korrekten Headern (Status, Mime-Typ, Länge, Caching) sendet oder eben den Fehler mit passendem bzw. willkürlichem Statuscode (404, 403) anzeigt.

Stets Status 404 wenn ein sehr interessierter Unberechtigter auch nicht durch Brute-Force herausbekommen soll, welche Dateien überhaupt existieren.