在做忘记密码功能时考虑到邮箱链接的安全性，去网上参考下别人的意见，查询后发现许多网站的这个功能都存在漏洞，如：

手机方式：http://www.wooyun.org/bugs/wooyun-2010-018055    

邮件方式：http://www.2cto.com/Article/201305/215934.html

　　　　　http://www.wooyun.org/bugs/wooyun-2013-017322

吓到了吧，所以任何小的功能稍加不注意，可能就是一个大的漏洞

我的解决方案：（有不同意见的可以马上喷）：

1.存储数据库是必须的，先建数据库表用来存储每次发送的信息，表结构如下

编号：就是与某个用户进行关联，标注是哪个用户点击了忘记密码（在发送邮件前肯定有叫用户输入信息如用户名，邮箱地址），这样我们就能锁定该用户了

过期时间：就是设定邮件在多少时间内有效

随机md5值：是用来唯一标注邮件链接的，可以生成时间戳然后用md5进行加密

类型：用来区分不同的链接，看你自己的需要

2.用户点击忘记密码后，我们需要他们输入用户名，邮箱地址来进行用户的认证，如果认证正确则向该用户发送一封重置密码的链接邮件，并将信息存入到该表中：

如下：

3.用户点击后重置密码后，程序进行验证，通过vcode和email到记录表中进行查询，如果存在表示该链接有效，

如果验证正确了就显示重置密码页面，重置成功后将那个记录进行删除（也可以添加一个字段来标注用户点击链接的次数，控制超过几次后就将过期）