Jakkolwiek to napiszesz, będziesz potrzebujesz tych xxx i yyy wartości w VerifyNewPassword.php. Najlepszym rozwiązaniem byłoby zapisanie ich w ukrytych danych wejściowych po przekazaniu do resetpassword.php, przesłanie ich wraz z wartościami POST i zweryfikowanie ich jeszcze raz z VerifyNewPassword.php.
Jeśli chcesz uniknąć linku, możesz wysłać odpowiedź 303 z Location nagłówek ustawiony na http://mysite.net/resetpassword.php?id=xxx&username=yyy , z inną opcjonalną flagą ustawioną, jeśli chcesz wyświetlić komunikat o błędzie.
