Você precisa verificar pelo menos um recurso de identificação do usuário e verificar se ele enviou uma pontuação antes de servir o formulário. Existem várias maneiras de fazer isso, cada uma com suas próprias fraquezas, então é melhor misturar e combinar, no entanto, algumas das minhas cabeças incluem:

• 
  Verificar se uma pessoa com o mesmo IP e string de agente de usuário não enviou uma pontuação máxima nos últimos x minutos (embora isso possa impedir que algumas pontuações legítimas sejam enviadas - pense em uma escola / escritório usando o mesmo navegador e com o mesmo ip)
  
• 
  Colocar um cookie de rastreamento na chegada com um ID de usuário de identificação. Em seguida, verificar se o ID do usuário não enviou uma pontuação nos últimos x minutos. (por exemplo, inicie uma sessão PHP, se desejar)
  
• 
  Adicionar um cookie ao navegador após o envio da pontuação e, em seguida, verificar esse cookie antes de servir o formulário (sim, pode ser facilmente contornado excluindo o cookie). Alternativamente, você pode definir um valor na sessão)