Ну при чем же здесь это? ) Речь о том, что доступ к базе данных ограничивать никак не надо. Хотя бы потому, что у посетителя доступа к базе и так нет.
А чем через сессии плохо? Вариант с IP, на мой взгляд, не самый лучший. Если все так сурово, давайте доступ к поиску только для авторизованных товарищей. Можно id сессии еще пихать в
LSO.
Либо блокировку по IP можно сделать чуть "поинтеллектуальнее" и бородить только посетителей, с IP которых приходит аномально много запросов, и у которых с момента инициализации сессии прошло меньше времени, чем заданное ограничение по поиску.
_____________