Das ist richtig. Ich könnte einen Cronjob erstellen, der die captchas aus der DB löscht.

NUR: Das verhindert ja nicht, dass jmd, ein solches Programm schreibt, wie ich es oben erklärt habe.

Wie siehts mit der $_SERVER['HTTP_REFERER']-Variablen aus. Das könnte zumindest ein kleiner Schutz gegen diese Skript-Kiddies sein, oder?