Hallo :)
also einmal könntest Du während des Speicherns die IP mitspeichern (als Hash o.ä. denn IP's speichern ist ja eig. nicht erlaubt). Und dann nur für eine gewisse Zeit, sagen wir 30 Minuten, dieser IP Zugriff auf die Bestätigungsseite gewähren bzw. nur den Datensatz der IP anzeigen lassen.
Du könntest auch einbauen, dass der Zugriff auf die Bestätigungsseite nur ein einziges Mal möglich ist.
Eigentlich genügt es doch, dem Benutzer die übermittelten Datenper eMail als Kopie zukommen zu lassen - oder?
Falls es unbedingt eine Bestätigungsseite geben muss, würde ich einfach die Session ID benutzen. Also ich gehe davon aus das Deine URL der Bestätigungsseite irgendeinen "Marker" enthält - im schlimmsten Fall sogar die ID der gespeicherten Daten - also quasi so:
http://www.domain.de/kontakt/bestaetigung?id=1337
Stattdessen würde ich in der SQL DB die aktuelle SID mitspeichern und auf der Seite
http://www.domain.de/kontakt/bestaetigung einfach die Daten anhand der SID abfragen und das für maximal 1 Stunde (3600 Sekunden) - danach sind die Daten dann logischerweise ungültig und im besten Fall auch aus der DB wieder verschwunden :) DAtenschutz und so ;)
Hoffe ich konnte helfen.