Tach!

Aber wenn ich die URL nur mit https://www.xyz.de/scripts/getImage.php?userid=1111&userpw=test&image=test.jpg aufrufe, dann kann diese doch auch abgefangen werden,

Nicht unterwegs.

zumindest auf dem PC, auf dem sie aufgerufen wurde (wenn es z.B. ein Terminal ist). Oder sehe ich dies falsch?

Auf dem Sender liegt die Information zur Authentisierung in jedem Fall vor, sonst kommt er ja nicht in den Server rein. Abfangen ist da also prinzipiell immer möglich.

Wenn es dir aber um das Verhindern von Schulterguckern geht, ja, dann ist die URL und jede andere Stelle ungünstig, die am Bildschirm gelesen werden kann.

dedlfix.