hi,

Es werden 5 zahlen zufällig erzeugt, dann wird damit ein Bild erstelt in dem die Zahlen stehen. Die zahlen werden einzeln in Sessions gespeichert.

Wieso einzeln?

Im Sende-Script meines Formulars wird dann die Variable $code mit den 5 session-werten gefüllt und mit der eingabe $_POST['schutz'] verglichen.

Warum dann nicht gleich die fünf Ziffern in _einer_ Sessionvariablen ablegen?

Das habe ich gestern schnell nach eine riesen Spam-Mail welle eingebaut vor einer Stunde ist es dann wieder los gegangen.
Ich denke dass die Spambots (oder was auch immer das ist) einfach die Session auslesen und so auch den Code wissen.

Das ist eigentlich nicht möglich.
Die in der Session gespeicherten Daten kennt nur der Server (wenn er sie nicht selbst dem Client verrät).

Oder sie sind noch raffinierter und können die Zahlen in dem Bild erkennen.

Möglich, aber eher unwahrscheinlich - Verhältnis Aufwand<->Nutzen zu schlecht.

Was ist der sicherste Schutz - ausser wie jetzt, das Formular auszuschalten?

Diverse Ansätze wurden hier schon ettliche Male diskutiert - befrage mal das Archiv.

Ich habe mir überlegt dass ich den erstellten Code mit md5 verschlüssele und die eingabe danna mit md5 verschlüssele und diese werte vergleiche - dürfte doch sicher sein oder?

Welchen Zusatz an Sicherheit versprichst du dir davon?
Der Client übergibt dir die Ziffernkombi '12345'.
Ob du die serverseitig mit '12345' vergleichst, oder md5('12345') mit md5('12345'), macht absolut Null Unterschied.

gruß,
wahsaga