Есть страница с аукционным товаром. Незарегистрированный пользователь вводит ставку и свою почту. WP отправляет письмо на указанную почту со ссылкой для подтверждения ставки.
Вопрос 1: как безопасно реализовать ссылку подтверждения?
Пока формирую url так:
http://site.ru/aukczionnyj-tovar/?action=bid_confirmation&product_id=173&nonce=bc8f1cbaba&bid=300&email=mail%40gmail.com
В момент подтверждения ставка записывается в произвольное поле поста.
На сколько я знаю nonce работает 12-24 часов. Условно nonce я могу увидеть в исходном коде, так как он выводится через wp_localize_script. Выходит написанный url выше позволяет провести атаку в ручном режиме?
Вопрос 2: Необходимо вывести результат при переходе по ссылке. Что-то типа этого: "Ставка сделана!". Какой хук использовать?
Вопрос 3: как запретить передавать через url левые email
Заранее благодарю за любые советы.