Если не трогать БД - можно юзать lock файлы!
Алгоритм примерно следующий:
При получении запроса пытаемся открыть файлик $_SERVER['REMOTE_ADDR'] . ".lock", т.е. название это IP клиента ("89.108.13.56.lock", "127.0.0.1.lock" и т.д.)
Далее читаем Unix timestamp из этого файла, если не прошло 10 минут - die().
Если прошло 10 минут и больше, то кидаем в файлик текущий Unix timestamp и работаем дальше!
С БД конечно правильнее было бы, но раз такой случай, то можно использовать мой метод.
