Supponiamo che io abbia una pagina dove i visitatori, per accedervi, devono fare il login.
E se a qualche furbastro venisse in mente di usare un bel bruteforce?

Come dovrebbe essere uno script di protezione?

Cioè che si segna l'IP;
Si segna il n. di tentativi;

e se il n supera un limite dato nell'arco di 15 min, gli dà accesso negato?