Zazwyczaj zdjęcia są serwowane jako statyczne odpowiedzi serwera http. Jeśli chcesz respektować jakieś prawa dostępu, to powinieneś je wysyłać przez php, przed ówczesnym sprawdzeniem czy są odpowiednie uprawnienia.
Jeden avatar nie robi problemu. Weź jednak pod uwagę, że php działa synchronicznie i opieranie na takim rozwiązaniu portalu w stylu instagram może być mocno problematyczne.