Здравствуйте, коллеги!

Вопрос архитектурный. Есть CMS на PHP. Есть проверка некоторых действий на автоматизированность с помощью капчи. Алгоритм: генерим фразу, помещаем в сессионную переменную, нажимаем submit. Там, где обрабаывается POST- запрос из формы стоит простая проверка на идентичность того что ввели и переменной сессии. Главный недостаток - нежно плодить эту проверку везде, куда прилетает форма с капчой. А если при обнаружении подозрительных действий происходит редирект с любой страницы на страницу с одной только капчой, то задача начитает быть совсем нетривиальной.

Логика подсказывает, что проверку надо сделать автономной, например на переключение фокуса с формы ввода капчи повесить ajax, который пойдет на сервер и достанет фразу из сессионной переменной, а потом сравнит. Но тогда любой дурак сможет в свой сайтопарсер добавить код, который так же ходит на сервер и достает переменную - теряется весь смысл в капче. Как не скрывай обращение к серверу через AJAX, сетевым монитором этот запрос можно вытащить, поэтому такая проверка не катит.

Что подскажете? Как сделать проверку капчи без перехода??

бухалтер фантоцциФорма всегда генерится на клиенте через JavaScript
Т.е., чтобы обойти такую капчу, достаточно чуть подчистить обработчик нажатия кнопки. Так?