Hallo!

Der Grund für dieses "A-PW":Es kann ja sein das der User die ID in der Tabelle "regnew" weiß und eine falsche E-Mail-Adresse einträgt.

Genau, man könnte einfach mit beliebigen IDs spielen bis man eine passende gefunden hat. Deshalb sollte das APW auch nicht leicht zu erraten sein.

Was haltet ihr davon?

Würde ich auch so machen. Allerdings beim Anmelden noch einen timestamp speichern.
Wurde der Aktivierungslink nicht innerhalb von n Stunden aufgerufen verfällt die Anmeldung und der Datensatz kann aus der Tabelle gelöscht werden.

Grüße, Matze