se il login è corretto abiliti l'utente
altrimenti inserisci un record nel database (id record, ip, timestamp)

al login cancelli tutti i tentativi più vecchi di time()-3600

poi fai una SELECT DISTINCT per ip e se hai più di n record blocchi lo script