Pues lo que se hace es que tu BD donde contiene tu registro de usuario tiene al menos los campos de "usuario","contraseña" y el "código de validación" ...

Ese "código de validación" es algo "único" y aleatorio (un dato) .. lo puedes obtener por ejemplo haciendo:

$codigo_validacion=md5(time());

o con cualquier otro algoritmo .. El caso es que sea único y no algo "secuencial".

Con ese $codigo_validacion generas tu e-mail .. y lo envias en HTML (formato) con un link que apunte a tus servidores y script PHP que va a procesar la validación:

(en el HTML de ese e-mail):

<a href="http://www.tusservidores.tal/valida.php?usuario=$usuario&codigo_validacion=$cod igo_validacion>Validar</a>

Y tu valida.php lo que tiene que mostrar un formulario HTML con la petición (campo) para la contraseña . Esa variable (contraseña que introduce el usuario) + el usuario (que te llegó por el LINK en GET) y el código de validación (variable) que también te llegó por el link .. (estos dos .. los puedes propagar en campos hidden) procesas una consulta SQL condicional tipo:

SELECT COUNT(*) FROM usuarios WHERE usuario='$usuario' AND password='$password' ADN codigo_validacion='$codigo_validacion'

Si te devuelve 1 .. (pues se cuentan las coincidencias) .. es correcta la validación . .sino, no. Algo no será correcto .. ya sea la contraseña o bien que "adulteraro" el código de validación . .o el usuario.

Un saludo,