rozplanowałem sobie juz mniej więcej blokadę logowania na 30 minut po wpisaniu hasła żle 3 razy, tylko stoje przed dylematem: wpisywać do bazy danych IP takiego uzytkownika razem z czasem w Unix (jeżeli kozysta z netu w miejscu publicznym, to zablokuję prawdopodobnie więcej, niż jednego kompa), albo wysłać mu ciastko z czasem w Unix(nie wszystkie przeglądarki obsługuja cookies). Sam nie wiem co wybrać... A może jest jeszcze jakiś inny sposób?

JA nie blokował bym IP tylko usera (nick). Dlaczgo jak ktoś ma np sieć osiedlową (wszyscy mają ten sam zew. IP) to zablokujesz całą osiedlówkę
Na ciastko sam sobie odpowiedziałeś.

Ja blokowałbym nicka. Oczywiście można jeszcze raz zrobić sobie logina. Porównuj obok logina jeszcze e-mail albo cosik jeszcze.
Choć nie uchronisz się przed tym w 100%.

tylko, że wszystko będzie OK, jeżeli uzytkownik pomyli się w haśle, ale jeżeli wpisze zły login, to niestety nic z tego nie będzie, bo nie będę w stanie ustalić co to za uzytkownik

w nadmiarze się przejmujesz ... wystarczy że zrobisz blokadę po 3 nieudanych próbach na np 30 minut ...
Co ty tam takiego masz zamiar przetrzymywać :?: hasła kont bankowych czy co :?:

i tak właśnie chcę zrobić, tylko pytanie jest o metodę tej blokady, ze względu na to, że moje dziw nie są najlepszym rozwiązaniem, a z kolei blokada usera nie jest możliwa, jeżeli przy logowaniu poda on błędną nazwę użytkownika

Jeżeli poda błędną nazwę usera to nie musisz się przejmować bo on i tak się nie zaloguje choćby się , ale jeżeli już musisz to jeżeli zablokujesz jedną osiedlówkę na 30 min to nic się nie stanie.
Poza tym w php w tablicy SERVER masz takie oto dwie informacje:
[HTTP_X_FORWARDED_FOR] - co się ni mniej ni więcej przekłada na wewnętrzne ip
[REMOTE_ADDR] - zewnętrzny adres ip.
Jeżeli Ci bardzo zależy to po prostu zablokuj komputer u którego się oba ip zgadzają, szansa na zablokowanie więcej niż jedynego winnego będzie nikła.

@Isalacar: rozwiązanie chyba bedzie działało, jak tylko włączę w Apachu opcje uhosin.log.use-x-forwarded-for , która domyslnie jest na Off. Dodałem do pliku .htaccess cos takiego:
ale phpinfo() dalej pokazuje, że ta opcja jet wyłączona i również zmienna$_SESSION['HTTP_X_FORWARDED_FOR'] jest pusta (a właściwie nie istnieje :/) co z tym mam zrobić?

Ta zmienna istnieje tylko gdy użytkownik jest za nie 100% anonimowym proxy lub jest w lanie.

dobra, czyli będę blokował IP w razie czego zrobię możliwość usunięcia przez admina danego IP z listy przed czasem. Dzięki wszystkim!

Rozumiem że chcesz się zabezpieczyć głównie przed botami, bo nie sądzę żeby ktoś się zdecydował włamywać w ten sposób ręcznie.
Moja propozycja to:
- blokada konkretnego konta w przypadku trzech prób zalogowania z błędnym hasłem
- blokada IP w przypadku dziesięciu (20, 30 jak kto woli) prób logowania niezależnie na jakie konto

@DjKermit: sytuacja jest inna: strona, którą chce zabezpieczyć to panel administracji elektronicznym dzienniczkiem i nie jest to zabezpieczenie przed botami, ale przed uczniami, którzy moga próbować zgadnąć sobie hasło do konta nauczyciela. I jak napisałem wyżej - nie uda mi się zablokować konta, jeżeli ktoś wpisze niepoprawny login, więc jednak IP wydaje się najlepszym rozwiązaniem...