fai una cosa professionale, usa mod_rewrite di Apache:

fai in modo che ogni richiesta alla cartella /immagini/xyz.jpg punti in realtà a immagini.php?nome=xyz.jpg. Lato PHP gestisci le sessioni e se sei autenticato mandi in output il contenuto dell'immagine assicurandoti di mandare il corretto header Content-type, usando poi readfile() di PHP.