Запросы к картинкам отправляете на скрипт, который разбирается, можно ли отдавать картинку пользователю. Если можно - читает запрашиваемый файл и отдаёт клиенту, если нельзя - отдаёт дежурный файл фиквам.джпг.

Например

aliskinDarkMasteraliskin,

Вопрос из серии паранойи - что мешает "другу" сохранить картинку у себя, а потом разослать "всему Инету"?

та я об этом думал. Может вообще не стоит замораыиваться по этому поводу? И никаких скрытых альбомов не делать?

aliskinну так как быть? Может забить на эту "суперсИкретность"? и не заморачиваться?При чём тут скрытые альбомы? По большому счёту, следует различать публичный доступ к данным и ограниченный. В этом вопросе следует исходить из требований техзадания и поставленных задач, а не из наличия или отсутствия одного из факторов или путей утечки данных (возможности друга разослать файл всему инету).

aliskinЭто без обработки ГЕТа. В /etc/passwd паролей нет, но ... :(В принципе, можно вообще отказаться от передачи понятных путей и параметров в скрипт отдачи изображений. Можно просто указывать единственным параметром ID файла, а скрипт по этому ID уже предоставит к выдаче конкретный файл. А ещё эти ID можно генерировать динамически и определить их действие только до первого запроса (после отдачи сопоставление айди и ресурса удаляется). Разумеется, сопоставление необходимо выполнять при генерации страницы. Насколько это получится надёжно - фик знает.