Innanzitutto il captcha devi generarlo lato server, quindi con php, anche perche poi con un qualunque bot una protezione fatta in javascript è del tutto inutile e inefficace.

ti consiglio di cercare su google "captcha image php" o qualcosa del genere, troverai numerosi script e sta a te scegliere quello che si adatta maggiormente alle tue esiegenze. Naturalmente dovrai testare anche sul campo l'efficacia dello script utilizzato.

Inoltre, ti consiglio di validare attentamente l'input dell'utente prima di scriverlo sul database, e di proteggere le query, perchè nella peggiore delle ipotesi un hacker potrebbe provocare danni irreparabili al contenuto del tuo database.