Ah, disculpame por eso.

Como te decía, una de las formas mas fáciles de hacerlo es la siguiente:

- El usuario pierde su contraseña por lo que llena un formulario con su Nombre de Usuario y su Correo con el que se registró.
- Al mandar ese formulario, tu script debe tomar el registro perteneciente a ese correo y ese nombre de usuario (en caso de que exista) y crear un hash, es decir, una cadena de caracteres alfanuméricos (de cualquier longitud).
Ese hash es guardado en la base de datos en un campo en especial para este motivo en la misma tabla del usuario.
- Ahora tu script envia al correo dado por el usuario un enlace que contenga el ID del usuario (o nombre de usuario) y el hash recién creado, algo como:
http://tusitio.com/recuperar-passwor...wfdegwafa54657
- Cuando el usuario va a su correo y hace clic al enlace le llevará a un script que comprueba si el registro para el usuario enviado tiene el hash asignado en la base de datos (el hash que se envio por URL).
- Si el hash concuerda, es decir que se comprobó vía email y podemos proceder a mostrar el formulario para el cambio de la contraseña. Al procesar ese formulario es solamente hacer el UPDATE en el registro correspondiente al usuario.

Puedes optar tambien por generar una contraseña generada aleatoriamente tambien luego de la confirmacion por correo. O hasta enviarle la que tenia, eso solo si la guardas como texto plano en tu BBDD (que es muy improbable por motivos de seguridad)

Espero ahora este mas claro. Cualquier duda me dejas saber.