[vadimiron]

код формируется генератором случайных чисел(есть несколько вариантов, везде много инфы по этому поводу)
потом берётся картинка (любая, заранее тобой подготовленная) и на неё с помощью функции imagestring() рисуется сгенерированный код, если код введённый юзером совпадает, то допускаем юзера.

Это было в общих чертах (по крайней мере как я себе это представляю), алгоритм то бишь, если нужно какую то часть поподробней, обращайся, объясним

[Ginger]

а зачем тогда имя картинки шифровать?
я видела такое:
Your Code Is:<img src="/image.dyn;jsessionid=PPHGXKFZHXLVYCWLEAKSFEY?38521559" width="150" height="50">

[s]Исправлено: Ginger, 21:43 3-05-2004[/s]

[Prisoner]

Чтобы картинка не кэшировалась, имхо. А то при случае многократного прохода через эту примочку число будет постоянным на картинке, а в реалити лайф - нет. Пример - отправка смс с сайта мегафона. Кроме того, этот параметр у тебя (sessionid) судя по всему код сессии - когда на сервере создается аналог куки (там информация лежит), а по коду через адресную строку или по коду в куки броузера (разные механизмы передачи кода сессии существуют) берется информация - таким образом можно хранить число которое было показано в картинке посетителю и затем его проверять - оно в сессии, то есть не теряется после выполнения скрипта. После проверки есстественно сессию нужно кильнуть (все данные потереть то есть) ну и все такое прочее.

[s]Исправлено: Prisoner, 2:42 4-05-2004[/s]