scusami però, un controllo così fatto in javascript non ha quasi nessuna efficacia
un bot quando accede alla pagina di invio form non lo fa come un normale utente e javascript non viene eseguito.

In realta il risultato dell'operazione dev'essere posto preventivamente in sessione per poi essere controllato con il valore passato in post, ma questo esula dal javascript. Se non fai questo passaggio, la protezione è pressochè inutile.