Procedura attivazione account

Salve a tutti,

sto ancora sviluppando la solita link directory che mi ha già fatto chiedere aiuto al forum ( grazie ancora a tutti per le risposte ), ho creato la pagina di registrazione, quando l' utente completa il form i dati vengono inseriti nel DB, nella colonna " stato " del DB viene dato il valore 0, cioè account non attivato e viene inviata una mail all' utente con il link per attivare l' account.

Il link che ho pensato è di questo tipo :
attiva.php?user=username_utente&pass=password_uten te_md5

la password criptata in formato md5

La mia idea è che la pagina attiva.php modifichi il valore della colonna stato da 0 a 1, cioè account attivo, dopo aver selezionato la riga dell' utente e verificato che la password sia corretta.

Sto procedendo nel modo corretto ?
E' rischioso inserire sia password che username nell' url ?
Sepreste indicarmi un modo migliore?

Grazie per aver avuto la pazienza di leggere questo poema epico

1) Esiste un modo corretto ed uno sbagliato?
2) Non credo proprio, dato che la password è comunque cifrata (anche se gli algoritmi di md5 sono diventati noti...)
3) Migliore non lo so, ma io di solito faccio così:
genero una stringa random di 10 caratteri e la metto nel database nella colonna 'stato' (che ho preventivamente dichiarato come contenitore di varchar (10)), mando una mail con il link a index.php?a=act&uid=xx&code=xxxxxxxxxx e con l'update cambio 'stato' in 1 (solo se il codice corrisponde, ovviamente). Se poi la cosa non funziona reindirizzo alla pagina index.php?a=act&uid=xx dove, se l'utente ricopia correttamente i caratteri dell'immagine "di sicurezza", lo attivo ugualmente...

Zauuu!!