Hola.
No estaba seguro dónde poner este tema porque aunque mi web está hecha en php es algo muy general.

Quiero permitir a los usuarios que suban fotos al servidor, son fotos asociadas a su código de usuario y quiero que sean privadas pero que puedan usarlas con su URL.

Había pensado poner como nombre del fichero algo tipo id_usuario + token aleatorio con md5.

De esta forma cuando un usuario vea que su foto tiene la url por ejemplo http://www.nombredominio/fotos/id_us...4.....asdf.jpg será muy difícil que acierte a una foto existente probando nombres aleatorios en ese directorio.

¿Es así como se suele hacer?

¿es posible que un hacker pueda acceder al directorio www.nombredominio/fotos y ver los nombres de las fotos?


Saludos!
Oscar.