Алгоритм восстановления пароля

норм.

в вордпресс все это уже реализовано🤔

Когда будете делать не только статейник для адсенза, то поймете зачем.

А зачем  password_tmp? Пусть юзер сам придумывает новый пароль. 

Да и не вполне секьюрно слать пароль в открытом виде почтой.

почему, он ведь одноразовый будет... Сразу при подтверждении пользователь придумает новый пароль. Но вернее это называть не паролем в открытом виде с почты, а просто неким кодом подтверждения

Многие сервисы как раз шлют просто сгенеренный пароль.

Как минимум, не стоит уведомлять пользователя о том, что такой email не найден в базе (просто пишите уведомление том, что если такой пользователь есть, вы получите на указанный email письмо для восстановления). В целом, очень много лишнего, делаете просто временный токен на смену пароля,  отправляете ссылку, переход по ссылке из почты, проверка токена из ссылки, указание нового пароля, запись хеша нового пароля в бд.

Достаточно просто "письмо для восстановления отправлено по указанному адресу". Если пользователь его не получит, то догадается, что допустил ошибку при вводе адреса.

Автор, используйте отдельную таблицу для восстановления вместо "временных" полей в основной. Ничего не написали про срок жизни ссылки для восстановления. Если не обезопасить в достаточной степени эту функциональность, она будет очевидной лазейкой для взлома учетных записей. Это актуально не только при использовании ввода нового пароля, но и при использовании временного пароля. Временный пароль плох тем, что это усложняет функциональность аутентификации, "завязывает" ее на функциональность восстановления пароля. Кроме того, пользователи часто начинают использовать временный пароль вместо основного (а если вы его удалите через какое-то время, чтобы воспрепятствовать такому его использованию, это может стать очередным "шоком" для пользователя). 32-разрядный токен в любом случае слишком короткий.