В принципе тут в хранении в БД особой нужды нет.
Просто не охота переделывать.

Все-таки запись в БД необходима!

Получается, если давать на оплату сутки и ограничивать добавление в базу без каптчи даже 5 запросами в секунду, при желании можно легко загадить таблицу в течении дня. Тогда, чтобы осуществить задуманное, нужно использовать тип bigint для id и ежедневно очищать cron'ом!

А может плюнуть на исключения и плюс к этому еще и запрещать добавление повторным ip?

Насколько реальна такая ситуация?

Выходит, это можно отнести к DoS-атаке.
Тогда нужна защита от DDoS.