Von "Beispielcaptcha" kann keine Rede sein, das ist schon das fertige Programm ;) Drück mal F5, dann wird mit 80-90%iger Wahrscheinlichkeit der 4. Buchstabe kein L (oder ne 1) sein :)

Achso. ^^

Aber grundlegend hast du recht! Gibt es außer den hier: 5/S, 1/l/I, O/0 und B/8 noch andere, die ich raushauen sollte?

Kann ich so nicht sagen. Ich würde mir einfach mit deinem Captcha-System ein paar Captchas erstellen lassen und versuchen die aus mind. 5 Meter Wntfernung vom Bildschirm zu lösen. Solltest du damit Probleme haben solltest du vermutlich dein Captcha-System überarbeiten.

Das hört sich interessant an, wie meinst du das? Also ID (werde da wohl unique_id nehmen) ist klar, Cookie und nicht-öffentlicher Bereich (.htaccess) auch. Aber wie soll das aussehen? Wie verbinde ich die richtige Captcha-Lösung mit Cookie, ID und .htaccess-Bereich?
Was hast du im Sinn?

Bei meinem Captcha hab ich das so realisiert:

• For Formularseite enthält einfach nur das Bild und ein Texteingabefeld für den Bestätigungstext (und natürlich die ganzen anderen Eingabefelder)
• Wenn das Captcha-Bild aufgerufen wird, erstellt "das Bild" den Code, sowie eine zufällige einzigartige ID (UID).
• Aus dem Code wird das Bild generiert, die UID wird zusammen mit dem richtigen Code in eine nicht zugängliche Datei (oder Datenbank) geschrieben. Die UID wird in einem Cookie an den Benutzer gesendet.
• Nach dem Abschicken des Formulars wird die UID wieder vom Benutzer ermittelt. Aus der Datei/Datenbank wird damit dann der richtige Code ermittelt und mit dem Code des Benutzers verglichen.

Das Verfahren ist in soweit sicher, dass der Benutzer/Bot nur das Bild und eine für ihn völlig belanglose UID hat. Er ist also gezwungen wirklich das Bild auszulesen und kann in keinem Fall über irgendwelche übergebenen Werte an den Code kommen. Die Sicherheit dabei hängt also nur von der Qualität des Bildes ab. Hier würde ich übrigens das JPG-Format empfehlen. Wenn du das richtig stark komprimierst kriegst du schöne Artefakte, die zwar das Bild ein bischen verrauschen und verunstalten, die Lesbarkeit aber kaum beeinträchtigen, nur Bots/OCR-Programme möglicherweise stark einschränken.

Einziger Nachteil des Verfahrens ist, dass Cookies wirklich benötigt werden. Deshalb sollte man Captchas wirklich nur da einsetzen, wo es nötig ist.

PS: Wenn du mein Captcha näher testen willst, guck dir mal http://www.firefox-browser.de/MediaWiki/extensions/captcha/test.php an.