Sencillo, programa adecuadamente, recuerda la regla principal, no confies en los datos de entrada del usuario.
Lo que yo personalmente hago es una URL de este tipo:
Código:
/usuarios/activa/id/5/code/abc123
Es decir para activar un usuario necesitas el id y la clave, luego compruebo que la clave sea la correcta y que el id sea el correcto, y con eso procedo a activar el usuario.
Saludos.