Moin,

du hast wohl noch nie so einen login gebaut...

Habe ich. Mehrfach. Und ich habe die relevanten RFCs gelesen.

zum einen könnte man das auf ebene der bentuzernamen aufbauen und die fehlgeschlagenen logins loggen.
aber es ist viel einfacher, denn wenn ich mich recht erinnere wird die verbindung zwischen der übermittlung der benutzerdaten/neuanforderung trotz aller tücken des HTTP-protokolls nicht getrennt. daher kann man einfach in einer schleife im php-script die versuche mitzählen und ab einer bestimmten zahl aussteigen.

Muhaha, verzeihe wenn ich das nicht ernst nehmen kann, aber _du_ hast wohl noch kein Login gebastelt.

a) Es gibt gar kein 'Login', bei HTTP Authentication wird jeder Request einzeln authentifiziert und authorisiert.
b) Wie willst du auf Benutzernamengrundlage den Authentifizierungsdialog nicht erscheinen lassen, wenn der Benutzername doch in diesem Dialog eingegeben wird.
c) Selbstverständlich bringt ein Zähler im PHP-Skript genau gar nichts, da ein Authentifizierungsversuch immer genau mit einem Request gekoppelt ist, und das PHP-Skript (wie mit wenigen Ausnahmen bei allen serverseitigen Skripttechnologien) nur während der Bearbeitung eines Requests läuft.

Es ist mir eine Freude dir http://www.nuhr.de/home_bar.html ans Herz legen zu dürfen.