activar cuenta de usuario

Hola.

Tengo un formulario en el que al registrarse el usuario le envío un email con el enlace de activación y quisiera preguntarles una cosa:

Cuando el usuario hace clic, me abre la página "activar.php?id=231" en la que activaré la cuenta, pero ¿Sería recomendable hacerlo por sesiones para evitar el acceso directamente desde la web? ¿Se puede hacer de alguna otra manera para que solo sea posible acceder desde el enlace que se envía al usuario a su correo?

Pregunto esto porque me he dado cuenta que si pongo en la web: http://www.mi_dominio.com/activar.php?id=231 me salta la página sin haberlo hecho desde el correo electrónico y eso no tiene mucha seguridad que digamos.

Espero me pdáis orientar un poco. Gracias.

Yo lo que hago es tambien generar un codigo de seguridad al azar el cual guardo en un campo temporero. Si el codigo de suguridad coindide con el los valores que envia el usuario lo confirmo, algo asi:

mi_dominio.com/activar.php?id=231&codig=lsjk6j49g86jg744g

Entonces, al recordar la contraseña se puede decir que se crea una contraseña temporal por el sistema, ¿no? Pero ¿Como crear ese código aleatorio para que el usuario sepa qué poner como contraseña a restaurar?