la verdad no entiendo tu problema, es algo sencillo...

la idea es actualizar la contraseña utilizando una columna única en la BD, como puede ser el ID del usuario...

obviamente, debes tenerlo almacenado en sesión para poder comparar correctamente, y bingo!!


Edito: lo que si esta mal, es utilizar el email o el ID del usuario a través de POST ... imagina que yo hago una simulación de tu formulario y pongo arbitrariamente cualquier email existente en tu BD ... ¿que pasaría??

es por eso, que los datos importantes es mejor almacenarlos en sesión... y jamas pasarlos por hidden en formularios...