А какие боты имеются в виду?
Если подразумевается «человек пришел и написал программу/скрипт, чтобы зафлудить систему» – код здесь едва ли играет роль: этот человек, скорее всего, просто скопирует HTTP-запрос, отправляемый браузером. Ответ в виде XML или текста в данном случае только упрощает парсинг) Как бы пошло не звучало, но введи для защиты капчу: наличие AJAX едва ли помешает ее проверить.
Или речь идет о чем-нибудь вроде поисковых ботов?

По-большому счёту, если хотят взломать именно ваш сайт, то и капча тут не особый выход, я бы тоже советовал её поставить, но если не хочется, то можно вообще ничего не ставить или например скрытое поле со случайным md5...

La personne mystique
А какие боты имеются в виду?
Спам-боты, настроенные не конкретно на мой сайт, а действующие по общим принципам.

просто скопирует HTTP-запрос
Если бот составляет HTTP-запрос на основе формы, то тогда ложный экшен должен помочь?

tehzi
я бы тоже советовал её поставить, но если не хочется
Хочется / не хочется решаю не я. Поэтому надо что-нибудь придумать без каптчи..

скрытое поле со случайным md5
А что боту будет мешать его скопировать? В каптче в том и фишка, что код картинкой а не текстом..

А что боту будет мешать его скопировать?
Сделайте скрытый див в случайном месте страницы, если хочется помешать боту или придумайте ещё что-нибудь, не обязательно же делать по шаблону. Ещё вариант отправка сообщения на флэш. Только всё это ерунда по большему счёту то.

Спам-боты, настроенные не конкретно на мой сайт, а действующие по общим принципам.
Ну, сборщики e-mail уже лет десять как умеют исполнять JS на странице... Но существование универсальных спам-ботов едва ли возможно. (По крайней мере, такое их распространение, что стоило бы чего-нибудь бояться. А если возможно - назови поля формы так, чтобы они не совпали с общепринятыми, да и все.) Но есть программы, в базу которых вручную вбивают подобные сайты.
В остальном - капча, капча. Обращаю внимание, что капча - это не обязательно циферки. На Народе в свое время было красивое исполнение: вместо кнопки Submit - картинка шириной в несколько сотен пикселей, на которой рандомным образом выводилась картинка с кнопкой. Сервер проверял координаты клика по кнопке. )) Ну или загадку загадать, чего уж там.

Да сделай свою кастом капчу и ограничение на ввод неправильных. Капча как вариант - два слова и рядом подпись, мол введите только 1,3,5 букву задомнаперёд - нету таких ботов, зуб даю

tehzi это прокатит только лишь если бот не заглянет в JS. А если он не заглянет - то и отравить ничего не сможет.

La personne mystique
вместо кнопки Submit - картинка шириной в несколько сотен пикселей, на которой рандомным образом выводилась картинка с кнопкой. Сервер проверял координаты клика по кнопке.
Хм.. А это идея )

Но есть программы, в базу которых вручную вбивают подобные сайты.
А можно пример? А то я так и не смог найти даже описания принципов работы бота.

Что-то мне кажется это из серии "Сделали стальную дверь, а окна поставить забыли". Зачем такая защита? Обычная капча без мудрежа спасёт тебя.

Жжоте.

+1 за обычную капчу. =)

заглянет в JS
Используйте, декомпрессию от Yahoo http://developer.yahoo.com/yui/compressor/

alhames,
А можно пример? А то я так и не смог найти даже описания принципов работы бота.
Блин, если бы я помнил... но покопаюсь в памяти. Что-то такое очень популярное было, что базами даже торговали...

Спам пойдет после того, как человек заглянет к тебе на сайт и подгонит алгоритм постинга под твою форму. Для защиты тебе все равно придется требовать от пользователя чего-то, что нельзя автоматизировать.

бот не заглянет в JS  - бгг)

+1 за обычную капчу

Kakou ECTb Тигр еще раз повторюсь, что это не моя прихоть.
Есть форма без капчи - нужно поставить незримую защиту.

Ладно, посмотрим - мб со спамом проблем и не будет.