Cita:
Iniciado por abimaelrc 
Por eso es que no se debe verificar si procede del mismo servidor. Lo mejor es verificar que los datos estén correctos y escapar los caracteres que pueden provocar un ataque XSS. No es útil intentar verificar si el código procede del mismo servidor.
Pero aunque verifiques que los datos son correctos, cuando se descubre que variables se están enviando al script lo login.php puedes amañarte un script con curl que vaya probando user y pass no? puede que los datos que envies sean correctos, pero te estan enviando muchiisimas peticiones cada minuto, o cada día si el tio sigue intentandolo.
Llegados a ese punto imagino que quizás vale más la pena mirar los logs del apache y localizar la IP desde la que se hacen los intentos y bloquearla... De ahí que me digas que no es útil verificar si el código procede del mismo servidor
Muchas gracias a todos
