Nunja ich bin am ehesten für die referer-Methode, da ich glaube, dass die wenigsten dies ausgeschaltet haben, ich für meinen Teil wüsste nicht, wo ich das beim IE oder FF ausschalten könnte und ansonsten die Session-ID.

Viele haben den Referer aus und wissen es garnicht, oft filtern den z.B. personal Firewalls raus... Gut 3-10% der Besucher meiner Website kommen von der Seite "Field blocked by outpost" ;)

Ich versteh aber dein Problem nicht... Du willst ein Captcha zum Abtippen in das Formular einbauen, demnach muss doch deine PHP Datei nur die große Datenmenge ausgeben, wenn das Captcha korrekt ist - andernfalls soll es hald 0k ausgeben und fertig. Alles andere macht keinen Sinn?!