prueba asi
<img src="pagina2.php" />
de todos modos tu sistema sera vulnerable ya que debes validar por lista negra como esto :
$listanegra= array(".php", ".phtml", ".php3", ".php4", ".js", ".shtml", ".pl" ,".py");
y ademas debe probarse si pasa histogramas ya que los spamer usan programas que buscan bordes para tomar el dato....
la mejor opcion es usar un sistema mas complejo usa este: es el secure imagen el mas renombrado de todos
http://www.phpcaptcha.org/
saludos!
