Ich hätte auf ein reines "Ausfüllen" der Spam-Bots gehofft, werde nun aber die Ausgaben (zusätzlich) absichern.

Du machst da anscheinend sowieso einen ganz grundsätzlichen Fehler: Nie, nie, niemals darfst du davon ausgehen, dass Daten, die von außen reinkommen, in Ordnung sind. Es ist dabei insbesondere auch vollkommen wurscht, ob du diese Daten dreieinhalb Seitenaufrufe vorher mal

natürlich validiert!

hast - sobald sie deinen Server wieder verlassen haben, sind sie unsicher, manipulierbar, nicht vertrauenswürdig.

Ich weiss nicht, was du vorhast, aber du solltest das Rad nicht neu erfinden wollen. Benutze, so möglich, eine Sitzung und gib die Daten bei jedem Seitenaufruf neu aus, anstatt sie jedesmal wieder auf eine Rundreise durch die pöse Welt zu schicken.