Estaba buscando una respuesta más segura a esto. El código que hace noble10 es funcional. Sin embargo le falta cuando hace el insert en la base de datos del código de activación. Aun así me preocupa la seguridad. Quizas podamos hacer una $_SESSION[validar]=$codigo y cuando el usuario pulse el link en el mail que enviamos se verifique que la sesion aun exista con esa clave. Así sabemos que quien se registró es la misma persona que lo validó, además que la sesion caduca en cierto tiempo. Otra. Es mejor usar POST que GET y tambien es mejor enviar la clave codificada en MD5 o base 64 etc.