Sisi, entiendo perfectamente que es lo que NO QUERES que puedan hacer, lo que no entiendo es tu enfoque del sistema.

¿En que se diferencia el script: imagen_10.php del script imagen_11.php ?¿

Yo hubiese echo un script llamado "img.php" en el cual le pases:
*id
*numero

Ambos codificados con md5(), que luego antes de ejecutar la consulta seíran decodificados, por lo tanto lo unico que el cliente sería capaz de ver es esto:

PD: Dentro de img.php, podrias programar para que cada una de las cadenas sean analizadas y que estén propiamente codificadas en md5(), es decir que por mas que algun lammer, cacker, o como quieras llamarlo, se le dé por introducir un numero común, el sistema lo reconosca y no lo procese.