Hola jaronu, me parece que el sistema tiene un problema, ya que si uno sabe la dirección de email de algún usuario registrado podría cambiarle la contraseña. Te recomendaría que luego de comprobar si existe el email, envies un email al usuario con un link único (puede ser por ejemplo la contraseña codificada y con el nombre de usuario, ejemplo: http://dominio.com/recuperar.php?id=8weo34324aaewkoeqwjewoa&usuario=j aronu . El id es la contraseña codificada), luego en la página a donde nos lleva ese link del email, habria que verificar si la contraseña es correcta con el usuario, y si es así permitir que cambie la contraseña y luego haces el update a la bd.