Mal so gefragt: Wieviele von den Spams sind wohl durch reine Bot-Scripte erzeugt, die Kommentar-Forms abklappern und diese nach zu übergebenen Werten (auch versteckten) scannen? Die meisten schätze ich.

Die meisten von diesen Bots dürften kein JavaScript „sprechen“. Warum also nicht in versteckte Formular-Felder Werte generieren lassen, die eine JavaScript-Funktion beim Anklicken des „Jetzt Kommentar hinterlassen“ erst erzeugt?

Theoretisch: Rennt ein JavaScript-loser Bot gegen das Formular an, werden durch Mangel an JavaScript-Funktionalität eben diese Werte nicht erzeugt. Ergo: Das PHP-Script kann den Kommentar zurückweisen, weil es entweder gar keinen oder einen falschen Wert übergeben bekommt.

Die JS-Funktion, die die Werte erzeugt, müsste natürlich extern eingelesen werden, um den Funktionscode nicht gleich mitzuliefern.

Spricht irgendetwas dagegen?