まあ画像はとりあえずデータベースに含む形で管理だな。
img.phpから呼び出すなら、普通に呼び出し時に
認証制限かけれんじゃね?

だけどファイル共有も入れると、
データベースに10M以上のファイルを含めると
あまりいいとは言えんな。