[danjel]

Jag brukar sätta generera en slumpmässig kod som sparas i en session och ett hiddenfält när man laddar formuläret, sen vid submit kollar man att session==hiddenfält.
Samt kollar att x antal sekunder gått mellan sidladdning och submit med en annan sessionsvariabel,
då kan de inte posta direkt mot sidan samt måste vänta en viss tid, vilket även försvårar för hackers som vill fylla en databas eller liknande från ett formulär..

[linusoleander]

Själv kör jag allt genom http://akismet.com/ innan jag skickar iväg ett mail. Mailet sparas alltid ner i databasen, så om ett riktigt mail slinker förbi så har man alltid möjlighet att läsa de efteråt.

De tillsammans med en enkelt fråga likt "1 + 1 = ?" och CSRF stoppar de mesta.