Форум PHP

Подобная защита (я про не *ел ли ты) реализована в vBulletin. Я делаю так, если попытка логина неудачная, в таблицу счётчика, прибавляется еденица, как только он достигает скажем десяти, генерируется новый актив. код для данной учётной записи, сама учётка блокируется, для активации как и при регистрации актив. код высылается на email. Однако есть и обратная сторона медали: хакер модет сознательно заблокировать всех юзеров сайта, достаточно за каждого 10 неправильно ввести пасс каждому. Поэтому подумываю просто блокировать 11 попытку входа минут на 20. Варианты с HTTP_REFERER и HTTP_X_FORWARDED_FOR отпадают по-любому, многие ж через прокси ходят.

Ладно всем спасибо. Что-нибудь попробую...

мне кажеться можно сделать так при попытке подбота пароля записывать значение переменной щетчика в файл и связывать его с ай пи юзверя при повторной попытке смотреть если айпи тоже то читаем значение переменной если оно привысило лимит то выводим на екран " а не ох..ел ли ты ?? " можно использовать вместо файла базу данных (я новичок так что сильно не смейтесь ))))

>Прокатять комбинации комбинирования бд и сессий

Что Вы имели в виду?

Прокатять комбинации комбинирования бд и сессий

Loki: Можно. 15 потоков по 100 шт. в секунду составят 1500 паролей в сек.
А с задержкой : 15 паролей в секунду

Хм... а в несколько потоков брутить разве нельзя?

Только не в начале!
А при неудачной попытке.

В самом начале обработчика напишите:

sleep(1);

1 - одна секунда, т.е. ваш взломщик сможет подбирать пароли со скоростью 1 пароль в секунду (чаще не даст ваше условие)...60 в минуту или 3600 в час. Если учесть что комбинаций пароля даже из 6-ти символов может быть миллион, то взломщику для перебора потребуется более 11 суток без перерыва...
Если у вас сервер ЦРУ поставьте sleep(2); будет надёжней!

что за задержку поставить? можно чуть по подробнее. Спасибо.

Просто поставьте задержку секунд в 3-5, после этого пароль подобрать будет практически не реально...