bueno bueno, ya que te estás metiendo en la seguridad, entonces el .htaccess no te va.

Lo que puedes (y debes) hacer con el .htaccess es proteger la carpeta para que no estén listadas cuando alguien pone la ruta de la carpeta.

Pero la cosa no termina ahí, ahora ya tienes protegida la carpeta en concreto, pero aún así, cuando alguien sepa la ruta exacta de la foto, la verá.

Lo que necesitas es mostrar las fotos, pero no proporcionando su ruta directa, sino a través de un script.

Es decir, ahorita tú estás ligando las imágenes de la forma:

<img src="imagen.jpg">

pero necesitas hacerlo con algo como:

<img scr="muestra.php?imagen=323">

Así, es el script muestra.php el que entrega la imagen al cliente y lo primerititititito que debe llevar ese script, es comprobar que el usuario está autentificado para ver esas fotos.

De esa manera, sólo las personas loggeadas podrán ver tus imágenes.