Meine Erfahrung sagt mir, dass man min. mit 2 Stunden rechnen muss. Das liegt aber weniger am Schreiben des Scriptes, sondern daran, dass Leute ohne PHP-Erfahrung das einfach nicht richtig einbinden und dann die PM's hin- und hergehen.
Wenn dir das aber nicht viel wert ist, dann versuche dich selber daran oder lass es. 
Auf eine Frage mit einer Gegenfrage zu antworten, ist nicht die feine Art. Du musst wissen, was dir das wert ist.
könnte mir hier jemand ein Skript schreiben
Klar, was zahlst du denn dafür?
bplaced ist schon einer der besseren Freehoster. Aber sieh' dir doch mal das hier an: https://www.strato.de/hosting Das Starter-Paket sollte eigentlich für dich reichen.
Kostenlose Webhosting-Anbieter haben alle mehr oder weniger Nachteile. Entweder lebst du damit, oder du gibst ein paar Euro im Monat aus oder du vergisst die ganze Sache. Deine Entscheidung.
Und Crossposting ist auch nicht witzig:
Was funktioniert den dabei nicht ?
denn, basti, denn!!! Mit 2 n
Ich habe keinen Schimmer, woran das liegen könnte.
Vermutlich liegt das an dem WordPress-Theme Hueman, welches du einsetzt. Deshalb bist du mir deiner Frage hier besser aufgehoben: https://wordpress.org/support/theme/hueman/
Das Angebot, was du da rausgesucht hast, beinhaltet nur die Domain, aber keinerlei Webspace. Kannst du also vergessen.
Es gibt soviel passende Beispiele, wenn man mal google bemüht, siehe z.B. https://codepen.io/AnabolicHippo/pen/WvNyaV
Wahrscheinlich hatte der noch kein Plan wie man Themen aufmacht
Aber PM kann er? 
Halt doch zwischendurch einfach mal die Füße still 
Und dein Link zu der Grafik läuft auf
Zugriff verweigert
Und ganz nebenbei: https://www.google.de/search?q=windrose+javascript
Da findet man Beispiele auf der ersten Trefferseite.
Das hättest du auch alles per PM schreiben können und derjenige, der dich angeschrieben hat, hätte einen Thread eröffnen können! Außerdem sollte man jegliche Hilfe per PM ablehnen, das ist nicht Sinn eines Forums!
Ich kann dir nicht wirklich einen Schutz empfehlen, denn ich habe mir selber einen Spamschutz aus einigen Kombinationen gebastelt. Du kannst das aber selber relativ einfach nachbauen.
In der Regel geht jeder User über die Startseite auf eine Domain. In der Startseite setze ich eine Session-Variable. Bei der Formularvalidierung prüfe ich, ob diese Variable gesetzt ist. Spambots finden Seiten mit Formularen und merken sich die Seiten und greifen ab sofort auf diese Seite direkt zu. Also wird dann die Session-Variable nicht vorhanden sein. Weiterhin habe ich noch ein Honey-Pot eingebaut und zusätzlich noch einen Timer. Ist die Zeit zwischen Aufruf des Formulars und absenden unter x-Sekunden, blockiere ich das Senden. Und zu guter Letzt habe ich auf dem Server mittlerweile eine lange Blacklist, die den Zugriff von sehr vielen IP-Adressen bzw. IP-Bereichen blockiert.
Alles zusammen sorgt für Ruhe im Karton, Spam wird über meine Formulare nicht mehr (naja, extrem selten) verschickt.
Wie kommen die dann an die Mailadressen?
Garnicht. Die füllen einfach das Formular aus und senden ein Submit. Und schon hast du Spam in deinem Postfach.
Die User sollten nur ein Upload durchführen dürfen. Wenn sie ein Avatar erstellen bzw. ändern wollen, dann sollen sie das auf dem eigenen Rechner machen und das Avatar auf dem Server per Upload ersetzen.
welche Möglichkeiten gibt es da?
Erstelle ein Formular zum Upload eines Bildes, speichere das Bild in ein Verzeichnis und speichere den Namen des Bildes in der Datenbank mit der dazugehörigen ID des Users. Beim Speichern des Bildes solltest du dich nicht auf den Namen der Datei verlassen, sondern generiere einen Dateinamen, um dopplete Dateinamen zu vermeiden.
google -> php daten in datenbank schreiben -> Ungefähr 5.700.000 Ergebnisse
Reicht das wirklich nicht???
