Sistema di registrazione: quali parametri usare per l'attivazione?

[szannotti]

Ciao e buona domenica a tutti

Avrei bisogno, se possibile, di un chiarimento riguardo un sistema di registrazione con conferma via email...

In pratica al momento di registrarsi l'utente riceve un codice di attivazione che viene salvato nella tabella degli utenti, insieme agli altri dati (username, password, etc.).
Il link di attivazione mandato per email sarà dunque una cosa di questo tipo:

http://www.miosito.it/attivazione.php?key=1234567890

Al momento dell'attivazione il livello dell'utente viene portato a '2' e il codice di attivazione viene cancellato dal database.

La mia domanda è: siccome ho trovato in giro diversi altri tipi di attivazione, ad esempio id + email, quali sono i pro e i contro dell'utilizzare invece - come nel mio caso - un unico codice di attivazione?

[Alhazred]

Mah, se c'è un'accoppiata codice/email magari eviti che qualcuno si diverta a provare a fare attivazioni a caso cambiando il solo codice numerico nella barra degli indirizzi.
Su un codice solo numerico di 10 cifre è relativamente semplice attivare anche altri mettendo numeri a caso, ma se per il codice che generi usi una cosa tipo
md5(time())
ti basta quello ed eviti di dover mettere l'email dell'utente come parametro nell'indirizzo.

Una stringa di 32 caratteri alfanumerici da indovinare a caso non è per niente semplice e nessuno ci proverà.

[szannotti]

Il codice che ho inserito è un numero di fantasia: nella realtà viene generato un codice random e applicato l'ashing md5...esattamente come hai consigliato tu

[Alhazred]

E allora sei a posto così.

[szannotti]

Grazie per la conferma