Was mir noch dazu eingefallen ist. Da du das Ergebnis direkt als md5 weiter gibts, ist es ein leichtes die Lösung immer korrekt zu setzen auch wenn die Antwort falsch ist.
Ich könte z.B. auf meinem Rechner ein Formular erstellen in dem "arithmetic" immer mit 3 gefüllt ist und im Feld Antwort lasse ich den md5 Wert von 3 Eintragen. Somit ist die Prüfung schon umgangen.
Ein md5 Wert sollte also noch verändert werden.
Beispielt:
PHP-Code:
md5($Zahl1 + $Zahl2 +5)
//bei der Prüfung muß dann allerdings
if(md5($_POST['arithmetic']+5) != $_POST['antwort'])
Nun müsste man schon wissen, wie die Antwort gebildet hast um dieses zu umgehen.