Hallo Tobias.

Hat eigentlich schon jemand Erfahrungen damit gemacht, ob die Bots auch dann auf Felder reinfallen, die leer gelassen werden müssen, wenn diese vom type hidden sind (type="hidden")?

Solche input-Elemente kann normalerweise kein Mensch ausfüllen, es wäre also merkwürdig, dies von Spambots zu erwarten.

Oder muss man das schon mit CSS machen und für Textbrowser davor schreiben, dass man das Feld leer lassen sollte?

Dies ist die empfohlene Methode, ja.

Doch damit habe ich bisher keine guten Erfahrungen gemacht. Trotz leerzulassendem Eingabefeld und einer identifizierenden Checkbox wurde in einem meiner Projekte massiv gespammt.

Deshalb rate ich auch immer zum Einbau einer Vorschaufunktion.
Gegen die manuelle Freigabe der Einträge seitens des Sitebesitzers hat natürlich kein Spambot der Welt eine Chance und wird auch nie. (Außer er hat Zugriff auf den FTP-Account, aber in einem solchen Fall ist Spam wohl noch das geringste Übel.)

Einen schönen Freitag noch.

Gruß, Ashura