Originariamente inviato da fcaldera
scusami però, un controllo così fatto in javascript non ha quasi nessuna efficacia
un bot quando accede alla pagina di invio form non lo fa come un normale utente e javascript non viene eseguito.

In realta il risultato dell'operazione dev'essere posto preventivamente in sessione per poi essere controllato con il valore passato in post, ma questo esula dal javascript. Se non fai questo passaggio, la protezione è pressochè inutile.
proprio perchè non è umano, non è in grado di rispondere ad una domanda logica

io propongo una domanda e una risposta... in sessione lato server o tramite cookie ti conservi il risultato e fai un controllo di parità