ah!, lo olvidaba, tu captcha es muy inseguro, la modificación de los datos se hace después de pedir la imagen, si yo intentara atacar tu web, lo primero que haría sería ejecutar cualquier página que me creara una session, posteriormente ejecutaría tu script image.php, haciendo que me devuelva una imagen de confirmación, ya sabría que los datos de esta está guardada en session. con lo cual crearía un robot que haría múltiples HTTPRequest enviando los datos con el método POST de la creación de una cuenta y para el código de confirmación enviaría el antes enviado por image.php, y como este script no vuelve a ser ejecutado, el valor del captcha no cambiará, es decir, la session guardará los datos del primer captcha ejecutado....

Hay que mejorar la seguridad y tener en cuenta todas las posibilidades, más aún cuando publicas fragmentos de códigos en un foro tan grande como este. Alguien te podría hacer un seguimiento hasta que caes revelando tu URL...