hi,

Ein Spammer wird erst mal das Formular mit Firebug oder einem ähnlichen Tool untersuchen und versuchen, die entsprechenden Eingabefelder mit automatisierten POST-Requests nachzubilden.

Ja, nee, klar, das macht er bestimmt ;-)

Wenn er feststellt, dass dies nicht funktioniert, [..]

Er wird denken, dass sein Eintrag erfolgreich war.

[..] wird er versuchen, den Zusammenhang zwischen hidden-Feldern und Cookies zu ergründen. Schlimmstenfalls wird er jeweils die Cookie- und hidden-input-Values jedesmal neu auslesen, wenn er unbedingt Dein Gästebuch mißbrauchen will.

Gerne. Nur zu. Es gibt im Formular nicht den geringsten Hinweis auf solche Zusammenhänge.

Als zusätzliche Maßnahme ist daher entweder ein Captcha oder eine ansteigende Verzögerung bei multiplen Requests auf der gleichen IP zu empfehlen.

Ich halte beides für nicht empfehlenswert. Ein Captcha könnte friedfertige Besucher abschrecken und manch Anderer sieht die IP-Adresse als "persönliche Daten" an die er evntl. nicht gespeichert haben möchte. Außerdem ist die IP-Adresse keineswegs eine Konstante.

Hotte