Tach!

Können Spam-Bots auf "readonly" oder "disabled" gesetzte Felder manipulieren?

Das ist nur ein Attribut, das der Browser umsetzen muss/kann/sollte. Spambot ignorieren viel. Die können das interpretieren und dann leer lassen, aber auch einfach füllen. Wobei gesagt werden muss, dasssie nichts ausfüllen. Die schicken einfach Werte für die Feldnamen in ihrem Request ab.

Wenn ja, dann müsste ich einen extra Spam-Schutz integrieren.
Wenn nicht, dann wäre das wunderbar.

Du kannst nicht davon ausgehen, dass Spambots Roboter sind, die hinter einem regulären Browser sitzen und Zeug in Formularfelder eintippen. Schau dir an, wie HTTP-Requests gemacht werden, insbesondere auch, wie Formulardaten versendet werden. Spambots erzeugen gleich solch einen Request, nachdem sie die relevanten Formulardaten (Namen der input-Elemente) aus dem HTML geparst haben.

dedlfix.