md5_hex('das was du hier reintust');

darf nur _einer_ wissen. Und nur der kann dieselbe Checksumme erzeugen.

Also: Was Du der md5_hex() übergibtst, kann durchaus was Zufälliges sein. Nur: Du musst Dir halt merken, zu welcher email-Adresse das gehört. Ob Du Dir dazu

$hash = md5_hex($zufall);

entweder $hash oder $zufall merkst, also in eine Tabelle schreibst, die nur Du kennst, bleibt Dir überlassen.

Hotti