wenn sich ein user nicht effektiv an der seite beteiligt wird er gelöscht und zwar nach 2 wochen.

Das kann funktionieren.

aber trotzdem wie kann ich einen angriff der meine db in die knie zwingt wie du es so schön sagst abweheren,
vieleicht in dem ich nur max 100 anmeldungen pro tag zulasse!?

Das würde die Sache eher noch schlimmer machen: Ich komme morgens vorbei, mülle Deine Kartei voll und sorge so dafür, daß die fünf anderen, ehrlichen Aspiranten den ganzen restlichen Tag keinen Zutritt mehr bekommen.

Daß Du Dir Gedanken über die Systemsicherheit machst, finde ich vollkommen in Ordnung, aber Du scheinst es etwas zu übertreiben. Zu einer Analyse gehören drei Fragen:

1. Inwieweit ist das zu schützende Objekt anfällig?
2. Gegen wenn muß geschützt werden?
3. Wer sind die berechtigten bzw. erwünschten Nutzer?

Das alles zusammen bestimmt, wie stark der Schutz ausfallen sollte, aber auch wie stark er ausfallen _darf_. Du kannst ein Fort Knox zusammenbasteln, aber was bringt es Dir, wenn das Objekt der Begierde ein 100 Tonne schwerer Betonklotz ist, die Angreifer mit einem Korkenzieher bewaffnete Kindergartenkinder sind und den eigentlichen Benutzern die Sicherheitsmaßnahmen so auf den Keks gehen, daß sie nicht wiederkommen?

Du solltest Dir also erstmal überlegen/ausrechnen, wie viele Anmeldungen Deine Datenbank verkraften kann. Dann solltest Du Dir überlegen, wer angreifen könnte, welche Fähigkeiten und Resourcen er hat und, darauf basierend, wie lange der Angriff dauern würde, sowie aus welcher Motivation heraus er handelt.

Ich für meinen Teil halte es -wie bereits angedeutet- für sehr, sehr unwahrscheinlich, daß sich jemand wirklich die Mühe macht, mit einem Skript über das Netz irgendeine Datenbank zu fluten. Das dauert a) zu lange, hat b) Nebeneffekte, die man auch anders erreichen kann (übermäßige Serverlast erreiche ich auch und vor allen Dingen viel einfacher, indem ich wahllos Seiten anfordere) und ist c) mit keinerlei Unterhaltungswert für den Angreifer gesegnet - oder könntest Du Dir vorstellen, stundenlang ein Skript laufen zu lassen, das die eigene Internet-Verbindung lahmlegt, nur um am Ende nach vielleicht 25.000 Anmeldungen festzustellen, daß keine Anmeldung mehr möglich ist? Ganz banal gefragt: Wo ist da der Witz?
Und dabei ist noch gar nicht eingerechnet, daß derartiges Verhalten strafbar ist. Ein Angreifer, der in der Lage ist, geeignete Vermummungsmaßnahmen vorzunehmen, hat ganz andere Möglichkeiten, Deinen Server lahmzulegen, und im Falle ordinärer Scriptkiddies ist der Spaß eher auf Deiner Seite - nämlich wenn Du Strafanzeige stellst und Dir ausmalst, wie die Polizei unter den Augen der entsetzten Eltern den heulenden Filius abholt.

Genug geschwafelt: Benutze die einfache IP-Sperre, die ich bereits beschrieben hatte (achte darauf, daß die Auszeit bei jedem Versuch erneut gestartet wird). Das ist selbst mit zwei oder drei Minuten die effektivste und gleichzeitig am wenigsten die normalen Besucher beeinträchtigende Abwehrmaßnahme.
Milchmädchenrechnung gefällig? Bei 200 Byte großen Datensätzen würden 5 MByte Speicherplatz für bummelig 26.000 Anmeldungen reichen. Bei einer Verzögerung von zwei Minuten dauert es von einer IP aus 36 Tage, bis die Datenbank voll ist.

Gruß,
  soenk.e