Cita:
Iniciado por Hachikora 
Claro, el problema como te digo es que un atacante podría bloquear a varios usuarios. Si un atacante quiere amargar la vida a un usuario, podría estar bloqueándole la cuenta varias veces al día. Por eso digo que BBDD con nombre de usuario + IP me parece una solución intermedia.
Aun que parezca que entrar al email porque han bloqueado mi usuario es algo sencillo, para muchos usuarios es costoso.
Tambien he pensado en sacar un hash con toda la información del ordenador que intenta acceder, es decir, ip más datos del navegador, más localización, etc. Pero no se si es factible.
Precisamente no quieres usar la IP porque si cambia de IP puede seguir intentando acceder a la cuenta y tu lo que quieres es proteger el acceso a la cuenta. Recuerda que no puedes recoger información del ordenador cliente de forma tan alegre ya que has de cumplir con una serie de leyes sobre protección de datos, etc.
Yo he tenido que implementar sistemas parecidos y lo que te he comentado es lo que mejor me ha funcionado.
Cita:
Iniciado por minombreesmm $_SERVER['REMOTE_ADDR'] te muestra la del equipo. hay funciones que te muestran solo la publica.
mientras que $_SERVER['REMOTE_ADDR'] te muestra diferentes ips dependiendo si te conectas de tu celular u ordenador.
por eso es que la otra vez estaba investigando una funcion que te muestre solo la ip publica.
ya que $_SERVER['REMOTE_ADDR'] te muestra la de tu equipo.
El problema es que si tus usuarios se conectan a través de internet por el mismo router (por ejemplo en las pymes) todos van a tener la misma IP.