Also eine Website… Wenn ich als Link www.example.com/qr_img/13.png anbiete (13 ist die ID des Nutzers), kann der sich natürlich munter alle möglichen anderen Codes anzeigen lassen.

statt einer einfachen numerischen ID wie 13 könntest Du eine UUID für jeden User generieren und in der User-Tabelle speichern. Und diese UUID hängst Du dann in die URL.

Es ist dann zwar immer noch möglich, alle möglichen UUID-Werte durchzugehen, aber der Aufwand ist doch etwas höher als wenn Du nur 1, 2, 3, ... durchprobieren müßtest.

Soweit ich die Nummer verstanden habe: beste Antwort bislang. Speicher die Bilder direkt als UUID.jpg/png, versende/zeige den Link dazu an und fertig.

Kein PHP, kein Auth, kein weiteres Gedöns nötig. Der Webserver liefert die Teile auf Abruf aus und gut.

Bei iFrame-Basteleien hätte ich beispielsweise mittelschwere Verständnisprobleme, wie das Teil dann "bequem" auf dem Startschirm des Smartphones landen soll…

Schneller und sauberer, als der Webserver standalone kannst Du kaum ein Bild ausliefern.