Этот код ни на что не годится, кроме как заставить пользователя произвести лишние действия и даже не потому, что изображение легко разгадать, а потому, что числовой код в сессии остается неизменным и любой новичок напишет автореггер или спаммер за 2 минуты. Чтобы этого не произошло, нужно обязательно удалять числовое значение из сессии, unset($_SESSION[\'var\']);