Lo más práctico es lo que te hemos estado diciendo en todo este tema:

1. El usuario olvida su contraseña, y entra a una página de restauración de contraseñas (olvidopassword.php).
2. En esta página generas un código aleatorio y lo guardas en la base de datos. Le mandas al usuario por correo electrónico un link que dirija a otra segunda página (cambiapassword.php), pasando por la URL el código que generaste (cambiapassword.php?codigo=hbv78r4hfuhnv).
3. En esta segunda página buscas en la base de datos por un registro que tenga asignado ese código, que será el del usuario que desea cambiar su contraseña. OJO que hasta este momento no has hecho ningún cambio en su contraseña.
4. Cuando encuentras el registro podrías solicitar algún dato de confirmación, como preguntarle cuál es su email o su nombre de usuario. Esto para evitar que usuarios que logren ingresar un código aleatorio correcto puedan cambiar la contraseña de alguno de tus usuarios. Si lo confirmas, le das un formulario donde pueda ingresar una nueva contraseña. Hecho esto, encriptas la contraseña y la guardas en la base de datos. No es recomendable enviarla tal cual es por correo electrónico. Podrías enviarle un mail de confirmación de cambio de contraseña, indicándole tan sólo que su contraseña ha sido cambiada exitósamente en tal fecha.

Un saludo,