deswegen habe ich ein sperre eingebaut:

sobalt sich jemand registriert hat, speicher ich in $_SESSION['bla']='stop';

und vor jedem anlegen frage ich ab ob in $_SESSION['bla'] stop drin steht.

so sollte man sich doch ausrechend vor solchen attacken schützen können oder?

Das ist der Mörderschutz überhaupt - wenn der pöse Pube[tm] Browser wie den Internet Explorer benutzt, bei denen sich Cookies nicht mit einem Klick abschalten lassen:

<img src="http://kino-fahrplan.de/privat/st/selfforum/cookiemeister.png" border="0" alt="">

Einmal betätigen und das war's mit Deinem Schutz.

Merke: Jeder Schutz, der darauf basiert, Daten außerhalb des Servers zu speichern, ist für sich alleine genommen ein Witz.

Du kannst höchstens versuchen, Dir die Adressen der Gegenstelle auf Deinem Server zu merken.

Gruß,
  soenk.e