Sería la misma técnica que haces para los archivos.
Tus imagenes fuera del "DocumentRoot" (arriba de este .. "public_html").
Componer las cabeceras HTTP según el tipo de imagen:
Código PHP:
<?
header("Content-Type: image/jpeg");
y entregarla al buffer de salida previamente leida la imagen ..
Código PHP:
readfile($_GET['imagen']);
?>
Su uso:
<img src="ver_imagen.php?imagen=nose.jpg">
El ejemplo es muy simple, le faltan muchas cabeceras HTTP para indicar cosas como "el nombre" del archivo .. o el tamaño (en bytes) .. etc .. También le falta validaciones sobre la ruta que se pretende acceder para que no te "abran" un archivo que no corresponde .. o simplemente verificar que exista como para cambiar la imagen a algo tipo (una imagen que diga) "no se encuentra imagen ...".
Puedes ver soluciones más completas en los comentarios de los ususarios de:
header()
www.php.net/header
(o en los RFC's del protocolo HTTP/1.1)
Como es un script el que "entrega tu imagen" por ahí puedes hacer todo tipo de validaciones .. desde que las llamadas se originen desde tu própio domino .. hasta que sean llamadas desde páginas de tu sitio (y no directamente) .. o sólo mostradas a usuarios autentificados en tu sistema .. (por variables de sesión y/o cookies) .. etc .. Realmetne las posibilidades son infinitas, es cosa de "jugar" con las validaciones que quieres implementar.
Un saludo,