Ну а такой принцип капчи и есть.
К примеру сгенерили число для картинки, вывели его и записываем в сессию (например в md5, ну или в чистом виде...кто как хочет).$_SESSION['captcha_key'] = md5(12345);
А далее проверяется совпадение введённого и содержимого сессии. if ($SESSION['captcha_key'] == $_POST['captcha']).
ну эт так, общий пример)

И не путай session_id() и session_start() с массивом $_SESSION