Halkade in på denna gamla tråden.
Varför inte kombinera det bästa av två världar. Låt php kontrollera om användaren får ladda ned bilden och låt apache skicka den.
Jag tänker mig nått i stil med detta:
Kod:
image.php
Kontrollera om användaren får ladda ned bilden
Ja användaren har rättighet
header('Location: <bildens url>');
Nej användaren har inte rättigheter att se bilden
header('<sänd forbidden header>');
Någon kanske har lust att benchmarka
Dock så kan tekniska användare hotlinka till denna bilden om de tittar på headrarna som servern skickar tillbaka. Men i slutändan är väl allt en avvägning.
Edit: Formattering av pseudokod