سلام.
مسدود کردن کاربر بعد از 10 بار اشتباه کردن پسورد به مدت چند ساعت چجوریه؟

به نظرم باید فیلدی در دیتابیس با عنوان locked یا enabled داشته باشی که در صورت تشخیص حمله به اکانت کاربر اون را false یا true کنی. در موقع چک کردن پسورد فقط کاربرهایی رو چک کنی که Locked نیستند یا enabled هستند.
این دو تا لینک رو هم ببین. جالب بود.
http://www.cs.virginia.edu/~csadmin/gen_support/brute_force.php
http://stackoverflow.com/questions/18191685/limited-attempts-for-login-and-block-a-users-account-for-a-specific-amout-of-tim

این نوع سوال ها رو توی قسمت امنیت پی اچ پی بپرسید ... تا هم اون قسمت پر بار بشه و هم اینکه افرادی که بعد ازشما این مشکلو داشتن بدونن کجا دنبال جواب سوالشون باشن