Lo siento para mi falta de español.

La segunda (y también la primera) es bien si verificar IP y hora de otra entrada con un demora. Yo pienso un demora de cinco minutos dará una protección suficiente.

Un otra propuesta es utilizar un token un tu URL o POST values, como http://www.something.com/post.php?token=dsa3ff o $_POST['token'].

Registres el token un tu base de datos o en un session value, y verificas si el token es valido o no. Es no bien para protección de abuso más fuerte, pero es suficiente para protección de F5.

Espero que me hice clara y esto le puede ayudar!!