Esta claro que cualquier codigo en html o javascript lo van a poder ver, asi que lo que sea que haya que comprobar o restringir lo tienes que hacer en php.

Por ejemplo, un jugador podria ir y ejecutar sumarPuntos() a su antojo, pero ese sumarPuntos() luego chequea en PHP si ese jugador tiene turnos suficientes como para reailzar esa accion, y asi no habria problema.

Limita todas las acciones por tiempo o por turnos, o al menos asi hice yo en mi juego, saludos