Passt das dann so?:

wie gesagt: ich würde bei jedem aktivierungsvorgang einen hash vergeben

anstatt email_confirmed 0 oder 1 ein email_confirmed 5eb63bbbe01eeed093cb22bb8f5acdc3 oder 1 - alle mit 1 sind bestätigt, alle mit einem hash nicht - oder lege ein extra feld dafür an "hash_confirm" oder so

ansonsten kann man problemlos auch ungültige mailadressen bestätigen da man nur das registierierformular ausfüllen muss und dann die bestätigung selbst "generieren" kann, da man ja die gefälschte mailadresse hat

schicke lieber an den benutzer eine bestätigungsmail mit dem confirm-link

Abgesehn von den mysql_real_escape(). Das werde ich später versuchen.

nein, gleich - das musst du IMMER sofort einbauen und nicht "erst später" weil das auch in einer testumgebung potentiell gefährlich ist - ein spambot bzw einen brute-force-bot interessiert das ggf nicht, der probiert einfach "index.php?id=12345+injections" aus und dann vielleicht mal "test.php?email=random@example.com+injection" - irgendwann erwischts dich

die chance dass es dich sofort erwischt ist klein, aber mit jeder minute die  deine seite erreichbar ist, erhält der server wahrscheinlich hunderte solcher anfragen