Hello,

Ich denke dass die Spambots (oder was auch immer das ist) einfach die Session auslesen und so auch den Code wissen. Oder sie sind noch raffinierter und können die Zahlen in dem Bild erkennen.

bei einem normal konfigurierten Server besteht für einen externen Nutzer keine Möglichkeit auf die Inhalte einer Session zuzugreifen, ebensowenig wie auf deinen PHP-Code o.ä. Alles was der Client sieht ist das, was du ihm zuschickst. Wenn also dein Code erraten wird ist entweder das Captcha gut lesbar, oder du schreibst die Prüfsumme irgendwo mit raus.

MfG
Rouven