Procedura attivazione account

Salve a tutti,

sto ancora sviluppando la solita link directory che mi ha già fatto chiedere aiuto al forum ( grazie ancora a tutti per le risposte :wink: ), ho creato la pagina di registrazione, quando l' utente completa il form i dati vengono inseriti nel DB, nella colonna " stato " del DB viene dato il valore 0, cioè account non attivato e viene inviata una mail all' utente con il link per attivare l' account.

Il link che ho pensato è di questo tipo :
attiva.php?user=username_utente&pass=password_uten te_md5

la password criptata in formato md5

La mia idea è che la pagina attiva.php modifichi il valore della colonna stato da 0 a 1, cioè account attivo, dopo aver selezionato la riga dell' utente e verificato che la password sia corretta.

Sto procedendo nel modo corretto ?
E' rischioso inserire sia password che username nell' url ?
Sepreste indicarmi un modo migliore?

Grazie per aver avuto la pazienza di leggere questo poema epico :lol:

1) Esiste un modo corretto ed uno sbagliato? :lol:
2) Non credo proprio, dato che la password è comunque cifrata (anche se gli algoritmi di md5 sono diventati noti...)
3) Migliore non lo so, ma io di solito faccio così:
genero una stringa random di 10 caratteri e la metto nel database nella colonna 'stato' (che ho preventivamente dichiarato come contenitore di varchar (10)), mando una mail con il link a index.php?a=act&uid=xx&code=xxxxxxxxxx e con l'update cambio 'stato' in 1 (solo se il codice corrisponde, ovviamente). Se poi la cosa non funziona reindirizzo alla pagina index.php?a=act&uid=xx dove, se l'utente ricopia correttamente i caratteri dell'immagine "di sicurezza", lo attivo ugualmente...

Zauuu!!