Hallo Ulf,

Sehr schöner vorschlag, aber alles was ich in der Session Variable Registriere kann doch beeinflusst werden: [pref:t=66196&m=377362]

ja. wenn du in der session den wert $_SESSION[bla]=stop speicherst, lasse ich einfach die session beim aufruf der seite weg und bekomm automatisch ne neue zugewiesen.
das anmeldeformular kann ich trotzdem per script ausfüllen und abschicken.

muss es denn ein bild sein?
wenn es nur dadrum geht die zahlenkombination vom user in das feld übertragen zu lassen dann reicht es doch wenn die zahl neber dem feld steht oder?

genau darum geht es, das nicht jemand einfach per script die kombination auslesen und ins feld übernehmen kann.
die aus html auszulesen ist kein problem, aber aus einem bild schon.
dann gibts ohne menschliche hilfe auch keine anmeldung mehr, also auch keine massenanmeldung per script.

aber hacker brauchen doch nur wie sönke es beschrieben hat die Session auslassen und das feld frei lassen so würde
if ($feld == $schutz)
true ergeben da beide felder leer sind.

nein. wenn ich die session weglasse, bekomme ich automatisch eine neue zugewiesen. in der steht aber eine andere kombination aus dem bild drin, als beim letzten aufruf.
die kombination wird ja nicht beim start der session mit angelegt, sondern bei jedem aufruf der seite (auch, wenn die gleiche session verwendet wird) wieder neu generiert und in der session gespeichert. jedes "aktualisieren" verändert die kombination in dem bild.
und da man diese nicht mit einem einfachen script aus dem bild auslesen kann, muss ein mensch das übernehmen.
lässt du das feld für die kombination leer, gibts kein 'match' mit der (in der session gespeicherten) kombination, also 'false'.

freundl. Grüße aus Berlin, Raik