1. CSRF token kullanın.
2. Flood protection uygulayın. (Rastgele bir arama ile bulduğum şu kütüphaneyi inceleyebilirsiniz: https://github.com/frdl/php-floodprotection)
3. Form action adresini her kullanıcı için ayrı bir url olacak şekilde düzenleyin. (submit adresini javascript dosyasında yazmak yerine form action'a yazın. Örneğin her kullanıcı için url'ye kendi belirlediğiniz bir signature ekleyin.

Son söylediğimi örneklendirecek olursam:
- 144 id li Ahmet isimli ve ahmet@mehmet.com epostalı kullanıcı için url şu şekilde olur : islem/mesaj.php?signature=6a1fbea4091fc5dc7a70cf80c59039 6b
- 172 id li Ayşe isimli ve ayse@fatma.com epostalı kullanıcı için url ise şu şekilde olur: islem/mesaj.php?signature=a5ee46d795a1c69c2645938b02d345 88

Buradaki signature oluştururken kullanacağınız SALT her sayfa yenilemede değişeceği için bir mesaj gönderildiğinde, ikinci mesajda signature geçersiz olacak ve toplu mesajın önüne geçmiş olacaksınız.