[mar]

я пока решила так:
- человек вводит логин
- генерируется хеш из логина, издевательста над microtime и еще чего-нибудь
- из хеша откусывается довольно длинная часть, но не сначала и не до конца
- это отправляется на введенный при регистрации e-mail вместе со ссылкой на страницу восстановления
- + заностся в базу (user_id, code, timestamp) (или user_id, mictotime - код высчитываем опять на стороне сервера) - можно туда же еще сессию (?)
- человек приходит по ссылке, вводит логин-код и может менять пароль

вопрос - что безопасней класть в базу?