kalachnikov meinst du vielleicht, dass einfach der Handler anstelle eines Perl Skriptes ein PHP Skript ist?
Das ließe sich einfach machen indem man eine PHP Datei verknüpft, diese muss aber ohne weiteres erreichbar sein (also keine .htaccess im Ordner). Dann kann man beim Aufruf des PHP Skripts irgendwie den Header auslesen, schauen ob ein Login angegeben ist und wenn nicht mithilfe des Header Befehls dann dem Browser sagen, dass sich der User einloggen soll. Wenn Benutzername und Passwort enthalten sind kann man einfach per readfile() das Bild ausgeben und eben die Daten speichern.

Wie könnte man sich mit seinem Forum davor schützen? Eigentlich müsste der Server dann ja für jedes externe Bild erst eine Anfrage schicken und überprüfen ob das Bild ohne Passwort erreichbar ist. Und selbst diese Abfrage müsste bei jedem Aufruf wiederholt werden weil sonst könnte man es ja erst so lassen und dann wenn der Server fertig ist die Abfrage aktivieren. Oder eine erkennung einbauen ob die Anfrage vom Server kommt. Das ist alles sehr aufwendig und hilft nichts. Und Bilder ganz deaktivieren ist wohl auch keine gute Option. Hilft nur eins: Entweder nur Bilder die auf den Server selbst hochgeladen werden einbinden lassen oder gar keine Bilder zulassen. Ansonsten könnte man nur vielleicht die Augen offen halten und die Benutzer gegebenenfalls warnen.