Tach!
Zugriff erfolgt [bis jetzt] relativ unspektakulär via img-Tag, d.h. <img src="subfolder/img.jpg">
Das ist kein Zugriff seitens deines PHP-Scripts. Das ist lediglich ein Verweis, und diesem folgt der Browser des Besuchers. Also kommt der Request nicht von einem Server sondern von potentiell überall her. Du möchtest also aus Sicht der Browser deiner Besucher, dass man nur zugreifen darf, wenn man vorher das PHP-Script angefragt hat.
Mir fallen da zwei Wege ein. Zum einen könnte der PHP-Script-Aufruf einen Cookie setzen und mit einer RewriteCond könntest du den auswerten. Zum anderen könntest du alle Verwiese so umschreiben, dass sie auf einem Script landen. Das prüft die Berechtigung und liefert die gewünschte Datei als Response aus oder eben nicht.
dedlfix.