[Coutty]

Хотя... Я тут не подумал об одной вещи - в этом случае ничего не стоит отсылать на сервер свою форму, где каждый раз одна и та же комбинация ключа и хэша.
Во избежание такого дела можно вносить использованный ключ в таблицу с гостевухой. И если ключ уже использовался, то выдавать сообщение об ошибке. Соответственно и при генерации ключа надо проверять, чтобы его в таблице ещё не было, иначе честный пользователь будет огорчён.
Конечно, в этом случае увеличивается время обработки запроса, но не сказать, чтобы очень уж значительно. На небольшом потоке посетителей (штук так до 1000 в час [хы, слабо достичь такой посещаемости? =^_~= ]) потерь не будет видно. Но опять же, при переполнении таблицы будет трудно сгенерировать уникальный номер (можно обходить, очищая раз в несколько дней или даже месяцев столбик с ключиками).
Но не будем слишком сильно углубляться в безопасное программирование. Скорее всего спамерам/флудерам будет лениво разбираться с этим. А если разберутся, то можно продолжить путь. Или изменить алгоритм защиты.