cronfy

Обычно, такие системы строятся следующим образом: трафик заворачивается по ДНС на серверную ферму на толстых каналах, там фактически стоит простая прокся+специальный софт (аппаратно/программные комплексы) для анализа и фильтрации. В нормальном состоянии собирается статистика о посещаемости ресурса, кто, когда, куда и сколько ходит при отклонении от параметров, считается за атаку и начинает чистить.
Как таковые это не IDS, принцип работы другой. и предназначены IDS для другого.
Может быть развернут весь трафик(например BGP), но возвращать его придется по туннелю. (Касперский). И не всегда это можно сделать.

mod_php — никак, только если запустить несколько апачей.

Если обходится одним апачем — то только cgi

простейший вариант:
$rand = rand(1, 1000000);
… WHERE ticket_id >=$rand AND user_id=0 LIMIT 1;

Если нагрузки действительно высокие, то генерируем заранее таблицу ticket_id(PK)|rand_num|user_id с уникальным rand_num, а в кеше храним инкремент от последнего купленного ID. Читаем и апдейтим исключительно по PK, и как фейловер — небольшая процедура получения ID последнего купленного билета из бд на случай падения кеша.

Apache Benchmark

Siege

LoadImpact

geoipdns.org/
www.google.com/search?q=dns+geo+load+balancing&aq=2&oq=dns+geo&sugexp=chrome,mod=1&sourceid=chrome&ie=UTF-8

Зачем спрашивать? Считаете, что есть что интересное сказать сообществу — пишите.

Если вы действительно верите в то что это ошибка, так оплачивайте не взирая на всякие надоедливые предупреждения глупых браузеров.

Не совсем понятно, о каком ключе вы говорите?

Во-первых, вы лучше тогда данные отправляйте по https. Тогда транспорт будет защищенным. Без ключей.

Если вы говорите о каком-нибудь oAuth токене или еще какой подписи, то покажите код, который отправляет ваш post запрос. В примере WNezRoS, по-моему, тоже не будет каких-либо ключей, так как я не вижу, чтобы что-то для этого вставлялось…

Можно получить содержимое запроса, например, через $HTTP_RAW_POST_DATA
НО:
У вас содержимое POST-запроса не соответствует
Content-Type: application/x-www-form-urlencoded
Если вы хотите постить именно XML, то должен быть
Content-Type: text/xml
Если вы хотите постить именно как данные формы и обращаться по имени поля, а не к HTTP_RAW_POST_DATA, то кодируйте их соответствующим образом.