Lieber Felix,
liebe Mitdenker,
liebe Wissende,
liebe Neugierige,

ja!

Der sicherste Spamschutz ohne Generve ist immer noch eine Vorschau, die man dann bestätigen muss.[...]
Mit Session ist es für einen Spambot in der Praxis äußerst unwahrscheinlich, dass er sich durchpostet bis zum Fehleintrag.

das habe ich bisher auch immer gedacht... aber da gibt es Leute, die schreiben ausgefeilte Plugins für ihre SPAM-Software, die mit Sessions gut hantieren können.

Wieviele Spam-Einträge sind denn inzwischen bei Dir angekommen?
Ich gehe davon aus, dass eine Vorschau nach einer Plausibilitätsprüfung stattfindet und dass dazu mindestens ein paar Felder ausgefüllt sein sollten...

Und der Faktor Zeit sollte beim Schutz auch eine Rolle spielen. Wenn zwischen dem Aufruf des (leeren) Formulars und dem Posten des ausgefüllten keine 3 Sekunden liegen, sollte einem das schon zu denken geben.

Andererseits ist HTML ja auch dafür gedacht, maschinenlesebare Text- und Bilderfassung und -auswertung zu betreiben. Da wird man also über eine Sichtkontrolle nicht drum herum kommen.

Spirituelle Grüße
Euer Robert