[PHP] limitar el intento de login

podes usar cookies.
Por ejemplo, si da error una vez, seteas una cookie llamada cookie-1 , despues en el proximo intento el sistema verifica si existe cookie-1 y setea cookie-2 (y se borra la primera) y asi así sucesivamente.
Si queres mas seguridad ya tenes que usar un registro (que guarde una ip o un numero por ejemplo) ya sea en un fichero de texto o en una base de datos, entonces cuando el sistema chequea que existen mas de tres registros, da mensaje de error.
Acá hay un ejemplo de un metodo similar, por si te interesa

Creo que a lo que se refería era a que si intentás (erroneamente) entrar tres veces seguidas, por ejemplo en menos de 2 minutos, que bloquee la cuenta. Me imagino que para autenticar a un usuario primero tomas sus datos desde una bbdd y haces el matching y, si da positivo, lo dejás entrar. Suponiendo esto como cierto, lo que podés hacer cada vez que el usuario su primer intento incorrecto de login guardar un time stamp y un 1. Para el segundo intento erroneo comparar el time stamp con el actual y si esta dentro del rango que querés de límite, convertir el uno en dos, y asi para el tercero, o cuarto, o la cantidad de intentos de logins que quieras.

saludos

joder, es lo mismo que puso shock_dude en el enlace.. sorry

enrealidad esto no es medio gr@rch@ porque cualquiera con un nombre de usuario cualquiera intenta logerse mal aproposito tres veces para que se bloque la cuenta a un user, ej: uso el nombre de usuario shock_dude , intento mal tres veces con el pass (aproposito), y le bloqueo la cuenta
me explico?

eso pasa igual si lo haces en windows.... y tiene activada la opcion correspondiente

bueno pero es una kk enrealidad, esto no?, le podes bloquear a cualquier user la cuenta con este sistema, o me equivoco?
otra cosa como puedo hacer que unl password expira cada 30 dias, o sea que el usuario lo tenga que cambiar si o si cada 30 dias o se le bloquea la cuenta.

no, pero tengan en cuenta que se puede hacer con bases de datos pero tomando la ip del usuario para bloquearlo, por lo tanto otro usuario no puede bloquearlo.
Igualmente se pueden usar cookies
(if - usuario erroneo (abro buffer, seteo cookie , cierro buffer) )
uso buffers porque para cuando seteo la cookie ya tiré varios datos al navegador. (bah igual hay miles de formas con cookies, yo posteo la opcion rapida y groncha :P )

Te recomendaria que uses Sessions