Io non uso solo le HTML entities.... ma faccio proprio un controllo di determinati caratteri con le espressioni regolari.
Ad ogni modo, ognuno ha il proprio metodo: l'importante è che regga gli attacchi.
Per gli spammers, ti dico, la captcha letterale finora sembra funzionare.
Il concetto di base è piuttosto semplice.
Nella form mostro la somma di due numeri, scritti a lettere, e chiedo che ne venga digitata la somma in maniera numerica.
Semplice, leggibile, in linea stilistica con il proprio sito e accessibile anche con lo screen-reader per ipovedenti.
Finora sembra funzionare.