Кулхацкер сделает тысячу запросов через тысячу анонимных прокси и...

По большому счёту, этот функционал не столько полезен, сколько вреден. В моей практике был случай, когда сеошники попросили разобраться, почему сервер что-то левое отдаёт поисковому роботу. Оказалось, что в настройках движка сайта было установлено какое-то ограничение запросов (что-то вроде сотни или полусотни) с одного айпи в минуту. Вот и попали в индекс поисковика куча страниц вида "сайт недоступен".


giigroНавскидку приходит логирование IP в таблицу, но это нагрузка на БД и ложные срабатывания...Если очень хочется прикрутить такой ограничитель, то можно, конечно, сделать хранение счётчика запросов не на БД, а в мемкеше, например. Или в БД, но использовать таблицу типа Memory.
Касаемо так называемой "нагрузки" - у вас в среднем сколько миллионов запросов в сутки приходит на сайт?
Ну а по части ложных срабатываний - если даже исключить ошибки из алгоритма и кода, то всегда останутся пользователи, огромными тысячами скрывающиеся в сетях интернет-провайдеров за одним белым айпи.

giigroсделать защиту от дос-атакНе тот уровень, мягко говоря. Ддосить (если это кому-то надо) уж точно будут с тысяч хостов и тема эта уходит далеко за рамки пхп-кода скриптов.
giigroзащиту от клонирования продумать исключительно юридическую?Дык другой то и нету. На картинки и некоторые документы можно дополнительно наляпать водяные знаки или вроде того.