usi lo stesso codice che ti ho postato (ovviamente modifiche i MIME e la gestione dell'autorizzazione magari mostrando una foto "non autorizzato" invece di fare un redirect).

poi per visualizzare le foto:

[img]mostra_foto.php?foto=pippo.jpg[/img]

Dove mostra_foto.php è lo script con la readfile, e foto è il parametro che usi per identificare la foto (che può essere il nome, o l'id se usi un db)