Si despues de "activar la cuenta" haces el login automático del usuario a su "perfil", no envies el ID de usuario, ya que este es un número secuencial que puede ser facilmente descubierto por un malintencionado que activa la cuenta de X persona unicamente sabiendo su ID (suponiendo que X persona todavía no la activó) con los problemas que eso conlleva.
Si tu script tiene la particularidad que necesitas loguear al usuario inmediatamente después de la activación, puedes generar 5 letras aleatorias, pasarlas por un MD5, guardar una copia en la DB y enviarle al mail un link con esa cadena. Esto evitaría la secuencialidad que tiene el ID de usuario. Si le quieres agregar mas seguridad, puedes enviar el ID y el MD5 en dos variables por la URL.
En el caso que no te importe que alguien pueda activar la cuenta de otro usuario, no te compliques con mas que lo que te han dicho.
Saludos.