Здравствуйте!
При смене пароля, пользователь получает ссылку с кодом, который сверяется с тем, который в базе.
Понятно, что есть специальная таблица для смены паролей.
Так нужно сверять только код или лучше - пару электронный адрес и код, нужно ли создавать сессию со страницы ввода нового пароля и обработчика?