Защита формы без капчи

Посоветуйте, хотелось бы сделать защищенную форму на сайте без использования капчи. Что я сделал:

1. Ввел сессионную переменную с генерированным закодированным значением, которое помещается в поле формы. При получении формы поле hidden сравниваю с этим значением. При несоответствии, естественно, выводится соответствующее сообщение и форма не попадает под обработку.
2. Ввел еще одну сессионную переменную, которая следит, чтобы форму невозможно было отправить чаще 1 раза в час. То есть после отправки формы при обновлении страницы, ее html-разметка вообще не появляется на странице в течение часа.

Вопрос: какие подводные камни содержит мой скрипт и что можно ожидать от веселых хакеров? В частности интересует возможность или невозможность отправки данной формы со стороннего ресурса.