A számok fognak változni?
php példa: counting.php két session mezőbe tárolja el a generált kérdést és az eredményt. Ezt a mezőt a form-os oldal js-sel húzza be. Így a következő behúzásig a session-ben a tartalom változatlan, magyarul a form-ban küldött adat és a session-ben található megegyezik/megegyezhet. Ez is könnyen törhető, csak sok automata scripttől szabadulsz meg. Nekem eddig a szigorú pattern vált be. Ezt a patternt mind UI-n, mind szerveroldalon alkalmazom. Olyanokat, mint pl.:
<input type="text" name="lastname" id="lastname" value="" size="40" pattern="[a-zA-ZáéíóöőúüűÁÉÍÓÖŐÚÜŰ\.\-\s]{3,40}" title="Minimum 3 karakter (A-Z, -, space)" required="">
Ugyanez a pattern szerveroldalon. A kliens oldal "semmi" ellen nem véd. Nem a saját webformodon keresztül küldi a támadó az adatot.