Hi,

Im Sende-Script meines Formulars wird dann die Variable $code mit den 5 session-werten gefüllt und mit der eingabe $_POST['schutz'] verglichen.

wird $_POST['schutz'] durch eine manuelle Eingabe des "Users" oder durch ein von dir vorbelegtes Hidden Feld gefüllt? Wenn letzteres, ist das etwas witzlos.

Oder sie sind noch raffinierter und können die Zahlen in dem Bild erkennen.

Es gibt einige Tools, die sowas mehr oder weniger gut können (kommt auch sehr auf die Grafik, bzw. die Darstellung des Codes an). Siehe bspw. http://sam.zoy.org/pwntcha/. Aber das ist meist mit dem Verbraten von Rechenzeit verbunden und wird daher nicht wirklich oft gemacht. Die senden halt lieber 10000 Mails als 500 :) Und wenns bei dir nicht mehr klappt, ist der nächste reif. (Schade, dass man diese P****r nicht so einfach bei den E***n packen kann)

Tschau, Stefan