Diese Daten vor dem Login anzuzeigen halte ich nicht für sachgerecht. Dann kann ein potentieller Angreifer sehen, wie aktiv Du selbst bist. Zeige das nach dem Login.

Also:

Login-Formular zeigen  
Prüfung des Zugangsdaten.  
Bei Erfolg:  
  Holen der Daten des letzten Zugriffs aus einer bestimmten Datei, z.B. .ht_lastlogin  
  Speichern dieser Angaben z.B. in einer Session  
  ($_SESSION['lastlogin']['datetime'], $_SESSION['lastlogin']['ip'])  
  Schreiben der neuen Daten in die gleiche Datei wie eben  
Bei Misserfolg: Mindesten 1 Sekunde warten, alles von vorn.

Jörg Reinholz