Le moyen le plus simple consiste à ne pas enregistrer du tout d'utilisateurs non vérifiés.
Demandez-leur une adresse e-mail et envoyez un e-mail avec un lien contenant cette adresse scellée par un hachage. Dès réception de ce lien, vous pouvez commencer le processus d'inscription.
Quelque chose comme ça
$secret = "35onoi2=-7#%g03kl";
$email = urlencode($_POST['email']);
$hash = MD5($_POST['email'].$secret);
$link = "http://example.com/register.php?email=$email&hash=$hash";
Et dans votre register.php
ajoutez 2 champs masqués au formulaire d'inscription - e-mail et hachage, en stockant leurs valeurs reçues de GET.
Enfin, procédez à l'inscription et vérifiez,
if (md5($_POST['email'].$secret) == $_POST['hash']) {
//Continue registration.
}