En tu archivo que recibes el hash no entiendo para que usas el operador negativo ( ! ) en la función ctype_alnum(), lo que estas diciendo es que si la variable $_GET['hash'] contiene caracteres no alfanuméricos pase la validación, si contiene únicamente caracteres alfanuméricos envías un error 404, por lo que a mi parecer es lo contrario!, otra cosa, veo que no verificas si el hash generado ya existe, es poco probable, pero aun así deberías verificarlo, y referente a la seguridad a pesar que mysql_escape_string() es "potente" a mi aun así se me hace inseguro, ya que no es necesario escribir directamente las comillas para que el servidor MySQL las interprete, por ejemplo escribiendo %27 se interpreta como una comilla simple, para evitar estos problemas prefiero directamente pasar a PDO y evitarme dolores de cabeza, aparte que como ya se ah dicho infinidad de veces en este foro, las funciones mysql_* están obsoletas, por lo tanto queda usar PDO o en su defecto mysqli...

Y por ultimo, no le veo caso hacer 2 accesos a la tabla proceso para traer los mismos datos, si el hash es único (que así debería de ser) ya obtendrías todos los datos y evitar trabajo doble...

PD Se me olvidaba lo mas importante, tal vez te convenga mas usar OAuth que un sistema "arcaico" de validación con hash, digo, que para eso se desarrollo OAuth precisamente...