HTMLでフォームを作り、そこに入力した値をPHPを使ってMySQLに保存するフォームを作りました。
これを顧客用に一般公開したいのですが、考えうるリスクをヘッジしたく思い、一般的にはどのような仕様にするか伺いたいです。

まずは、フォームのコードを以下に貼ります。

HTML
1<!doctype html>
2<html lang="ja">
3    <head>
4        <!-- Required meta tags -->
5        <meta charset="utf-8">
6        <meta name="viewport" content="width=device-width, initial-scale=1">
7        <script src="https://code.jquery.com/jquery-2.1.0.min.js" ></script>
8        <script type="text/javascript" src="form.js"></script>
9        <link rel="stylesheet" href="form.css">
10    </head>
11
12    <body>
13        <div id="formWrapper">
14
15            <form action="formcon.php" method="POST">
16                <div id="form">
17
18                    <div class="logo">
19                        <h1 class="logo2">登録フォーム</h1>
20                    </div>
21                    
22                    <div class="form-item">
23                        <p class="formLabel">申込番号</p>
24                        <input type="text" name="user_id" id="user_id" class="form-style" autocomplete="off" required/>
25                    </div>
26
27                    <div class="form-item">
28                        <p class="formLabel">ID</p>
29                        <input type="text" name="id" id="id" class="form-style" autocomplete="off" required/>
30                    </div>
31
32                    <div class="form-item">
33                        <p class="pull-left"><a href="https://www.hoge.com" target="_blank" rel="noopener noreferrer"><small><input type="checkbox" required>利用規約に同意</small></a></p>
34                        <input type="submit" class="login pull-right" value="送信">
35                        <!-- <div class="clear-fix"></div> -->
36                    </div>
37                </div>
38            </form>
39        </div>
40    </body>
41</html>    

formcon
1<!doctype html>
2<html lang="ja">
3
4<head>
5    <!-- Required meta tags -->
6    <meta charset="utf-8">
7    <meta name="viewport" content="width=device-width, initial-scale=1">
8    <script src="https://code.jquery.com/jquery-2.1.0.min.js"></script>
9    <script type="text/javascript" src="form.js"></script>
10    <link rel="stylesheet" href="form.css">
11</head>
12
13<body>
14    <div id="formWrapper">
15        <div id="form">
16
17            <div class="logo">
18                <h1 class="logo2">登録フォーム</h1>
19            </div>
20
21            <div class="php">
22                <?php
23                // フォームからきた情報を変数へ代入
24                $user_id = $_POST['user_id'];
25                $id = $_POST['id'];
26
27                // データベース接続
28                $dsn = 'mysql:host=localhost;dbname=----------;charset=utf8';
29                $user = '-------';
30                $pass = '-------';
31
32                try {
33                    $dbh = new PDO($dsn, $user, $pass, [
34                        PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
35                        PDO::MYSQL_ATTR_LOCAL_INFILE => true,
36                    ]);
37                    $msg = 'OK';
38                } catch (PDOException $e) {
39                    echo 'システムエラー、お問い合わせください。DBE';
40                    echo '<br>';
41                    echo '<a href="https://www.hoge.com">戻る</a>';
42                    exit();
43                };
44
45
46                // 申込番号照会
47                $stmt = $dbh->prepare('SELECT * FROM users WHERE user_id = :user_id');
48                $stmt->bindValue(':user_id', $user_id);
49                //   SQL実行
50                $stmt->execute();
51                //   結果を取得
52                $resultconn = $stmt->fetch(PDO::FETCH_BOUND);
53                //   resultにfalseかtrueが入っている。
54
55                if (!$resultconn) {
56                    echo '申込番号が相違してます。再度ご確認ください。';
57                    echo '<br>';
58                    echo '<a href="form.html">戻る</a>';
59                    exit();
60                } else {
61                    try {
62                        // テーブルへ挿入
63                        $stmt = $dbh->prepare('INSERT INTO ids(user_id, id, support_code) VALUES (:user_id, :id)');
64                        $stmt->bindValue(':user_id', $user_id);
65                        $stmt->bindValue(':id', $id);
66                        $stmt->execute();
67                        $msg = '登録が完了しました！';
68                        $link = '<a href="https://www.hoge.com">戻る</a>';
69                    } catch (PDOException $e) {
70                        echo 'システムエラー、お問い合わせください。DBEI';
71                        echo '<br>';
72                        echo '<a href="https://www.hoge.com">戻る</a>';
73                        $e->getMessage();
74                        echo $e;
75                        exit();
76                    };
77                };
78
79                echo $msg;
80                echo '<br>';
81                echo $link;
82
83                ?>
84            </div>
85        </div>
86    </div>
87</body>
88
89</html>

HTMLのフォームで入力してもらったuser_idがSQLのusersテーブルに存在しているか確認を行い、存在していればインサート、なければエラーを返す、という仕様です。

今の時点で我々が考えうるリスクは以下です。
・手動自動問わず、いたずらによる送信ボタンの連打
・一致する申込番号を何万回もトライするような悪質なツールでのデータ登録

上記が発生した結果、データベースへのアクセスが連発してしまい、何らかの障害が発生してしまうのではないか。費用が膨大になってしまうのではないかと思っております。

「そういうのはこうやって回避するんだよ」や、「こういう仕様にするんだよ」等、一般的にどう対処するのか、有識者の方からご意見頂き、そのご意見をこちらのフォームの仕様に反映したく思っております。

どうか、宜しくお願い致します。