Exacto la idea es que cuando entren a tu app tu generes un id de sesión, digamos algo simple:
Código PHP:
Ver original// Generas el ID
// Lo almacenas en un medio persistente como una base de datos junto con la ip para mayor seguridad
guardar_en_bdd($id);
// Lo transmites a flash de alguna manera
echo "id=" . $id;
En Flash lo guardas en alguna variable y por cada request, envias el ID de sesión, así cuando vayan a hacer el comentario, compruebas:
Código PHP:
Ver original$id = $_POST['id'];
// compruebas si ya comento usando el ID y la IP por ejemplo
if (ya_comento($id)) {
}
// insertas el comentario
Con eso deberías de mitigar mucho el riesgo de que envien comentarios falsos ya que solo se generaría un id por cada request de ip y visita a la pagina, aunque también como te dicen, el captcha es la solución ideal para este tipo de casos.
Pruebas que distinguen a un bot de un usuario real.
Otra opción es que tu aplicación la bloquees con un usuario y contraseña, así el usuario se tiene que registrar para comentar y puedes detectar intentos fraudulentos más fácilmente.