DAnke für eure Antworten.

ICh glaube jetzt - wieder einaml - dass ichs geschafft habe.
Der Code war zwar nirgends rausgeschrieben aber es stand auch nirgends dass einer vorhanden sein muss. Wenn ich also das sende Script aufgerufen habe ohne vorher die Captcha zu laden = Session anzulegen UND das Code-Textfeld einfach leergelassen habe ging es auch weil beide Variablen leer waren.

JEtzt muss $code != "" sein und der HTTP_REFERER muss von meine Domain kommen.

Wenn das nicht sicher ist fress ich nen Besen (das wär dann schon der 2. inerhalb eines Monats - ich sollte das weniger oft sagen...)