Salut,
histoire de mettre tout le mon daccord :
le cookie on peut le virer en vidant les temporaire !
l'ip y a juste a se déconnecté d'internet et se reconnecter pour en changer (l'ip static c pas pour tout le monde) => stupide :)
si tu veut bloquer un compte tu creer une table blok dans la quel tu met l'id du compte bloqué le nombre d'essai et la date a laquelle tu a bloqué le compte
tu peut aussi ajouter un champ bloqué a ta table qui contient le pseudo afin de n'avoir a faire qu'une recherche !
exemple
CREATE TABLE block (
id int(6) NOT NULL auto_increment,
id_compte (int6) NOT NULL,
nb_essai int(1) NOT NULL,
date_block TIMESTAMP NOT NULL,
PRIMARY KEY (id)
)type=MyIsam;
quand un client essai de se connecter tu regarde si le champ bloqué indique oui ou non (dans mysql tu utilise un champ enum ('non','oui') )
si le bloqué = non tu regarde dans la table block si l'id est dedans et si ne nb_essai=5 dans ce cas refus de la connection et tu met dans la 1er table bloqué=oui.
si non tu valide la connection ! si les indentifiant sont fait tu update la table block pour ajouter un essai !
Voila le principe, j'espère que je ne t'est pas trop paumé
si tu a des questions n'hésite pas :)
j'y penserais a l'avenir 
