2.- Esas "letras raras" se llaman captcha.

3.- Creas en la tabla 2 campos adicionales, uno "estado" para valores validado / no validado, y otro "codigo de validacion" con valor una cadena unica en la tabla. En el email que le envias para que confirme le pones un link a tu pagina de validacion pasandole de parametro el codigo de validacion y una version encriptada (puede ser simple md5) de la direccion de correo. En esa pagina cambias de estado el campo "estado" en el registro donde coincida el codigo de validacion y la direccion de correo.

El incluir como parametro la direccion de correo encriptada es para evitar que la gente se ponga a crear urls con cadenas de validacion aleatorias para poder validar las firmas.