Lamento decirte que el control principal debería estar en id_self.php, y ahí justamente no estás haciendo ningún control. Es decir, basta con entrar 1 vez normalmente al formulario para obtener la página de proceso (id_self.php) y reiniciar los ataques como si no hubieras hecho nada