Я работаю в системе авторизации с ошибкой входа.

Если пользователь не может войти в систему, число попыток в базе данных увеличивается, и, если достигнут определенный предел, PHP устанавливает для переменной сеанса captcha значение true.

Поэтому, когда пользователь (или спам-бот) снова получает страницу входа в систему, форма переменной капчи отображается благодаря переменной сессии

Но поскольку спам-боты могут в конечном итоге удалить файл cookie сеанса и повторить попытку, это может быть неэффективно.

Должен ли я использовать решение для базы данных вместо этого? Как бы вы реализовали это (с / или без базы данных)?