「2」については、別の回答者さんのおっしゃる通りと思いますので、「１．」のほうへの回答です。 URLのパラメータが (1) 予測困難であること (2) 改ざんしても通らないこと が満たされていれば、大体問題ないといえます。 (1)については、日付で時刻（秒）まで存在すれば、悪意ある第三者は予測困難ではありますが、何らかの方法（通信を傍受するとか）で、メールアドレスを送信した時刻が知られてしまっている場合、容易に乗っ取り・いやがらせが可能です。 また、完全に時刻が知られていない場合でも、1秒ずつずらしてURLにアクセスすることで引きあたってしまう可能性もあります（いわゆるブルートフォースアタック）。 ついては、予測困難であるハッシュ値をトークンとするのが妥当と思います。 結局のところ、悪意ある人間が常人には及びもつかないような方法を用いてハッキング・クラッキングを行おうとしているのが現状です。 その現状に対抗したのが、例に挙げていただいているサイトのようなノウハウや、以前ご質問されていたパスワードのハッシュ化のノウハウだったりするわけです。

＞すでに作成済みのユーザー名かどうかを判断するのはやめたほうがいいでしょうか？ それは、ユーザー名そのままのディレクトリを作るってことですか? やれなくはありませんが、お勧めできません。 例えば、ユーザー名に「../../../../../usr/bin」 という文字列が指定されることも考えられるからです。 まあその場合でもアクセス権でエラーにはなるでしょうが、気持ちの良いものではありません。 上記のことを考えてユーザー名のマズい文字はあらかじめ置換するというのも手ですが、毎回きちんと忘れずに処理できるかどうか。 絶対忘れないから大丈夫、と考えていても、うっかりしてしまって、それが他人から見つかるとセキュリティホールになります。 元から、そういうことができないような方式にする方が望ましいです。 例えば、仮登録を受けたときに、ユーザー番号を発行し、その番号でディレクトリを作るのならまだマシです。 ユーザー名とユーザー番号の対応は、データベース等に記録します。 っていうかユーザーごとの個別データを保存したいなら、そうやってすべてデータベースに記録すれば良く、物理ディレクトリを作る必要も無くなってしまうのですけどね…。