Salve a tutti,
sto sviluppando una chat android che si basa su un server apache gestita in php + mysql. La chat prevede l'invio di immagini tra utenti e al momento eseguo l'upload in una cartella all'interno del mio server.
Come posso bloccare la cartella in modo che non possano essere visualizzate le foto da utenti indesiderati ad esempio tramite browser? L'unica soluzione è configurare il file htaccess e settare nome utente e password nella connessione lato client per poter accedere? (nella mia app android per capirci)

Oppure esiste qualche metodo più efficace? perchè ho paura che tramite un reverse engineering della mia app si riesca comunque a risalire al nome utente e alla password di accesso.