Sa conajmniej 2 sposoby.. opisze na przykladzie obrazkow.
1) umieszczasz skypt o nazwie dajmy na to images (bez rozszerzenia) gdzies tam, ustawiasz w apache'u ForceType zeby plik images byl traktowany jako skrypt php i teraz link do obrazka wyglada mniej wiecej tak: http://...../images/logo.jpg
Wiec obrazek jest parametrem do skryptu images (dla ulatwienia mozesz nazwac go z rozszerzeniem, wtedy nie musialbys ingerowac w konfiguracje apache'a, z tym ze juz bedzie widac w linku ze jest to przetwarzane przez skrypt), a sam skrypt sprawdza referer'a, jesli jest nim ten sam host (np wywolanie w <img..>) to wszystko ok, odczytuje obrazek podany przez parametr i wyswietla go (najpierw odpowiedni header, a potem readfile na obrazku). W przypadku zlego referera mozesz wyswietlic np. obrazek z tekstem "Zakaz hotlinkowania"
2) To juz troche trudniej bo trzeba by zaingerowac w konfiguracje apache'a i ustawic mu odpowiednie reguly korzystajac z modulu mod_rewrite, nie bede pisal jak to zrobic bo tylko kilka razy edukacyjnie bawilem sie tym modulem i nie znam go na pamiec, ale w momencie kiedy sie nim bawilem wlasnie widzialem go jako jedno z rozwiazan do blokady hotlinkowania.