Hola:

La programación de los captchas no es más que una imagen con un texto o número o combinación de éstos guardados también en una variable de sesión, y simplemente se compara... yo he tenido uno hecho por mi que aprendieron a vulnerar, así que se me ocurrió una alternativa que por ahora me está funcionando bien <crucemos_los_dedos /> y consiste en que en vez del captcha deben insertar una palabra de una frase que resalto en rojo (podría resaltarse de otra manera). Lo explico aquí: Comentarios y seguridad

Saludos