dovresti scrive un'indirizzo tipo questo:

codice:
<img src='http://www.xxxxxx.it/yyyyyyy/ccccccc/HASH/immagine.est />
dove HASH sta per un codice alfanumerico che crei tu e assegni all'utente in questione.
tramite url rewrite servi l'immagine reale.
potresti anche direttamente "criptare" l'utente all'interno dell'hash (senza fare un confronto dati hash/utente)