Hur du än skriver detta kommer att göra det behöver dessa xxx och yyy värden i verifyNewPassword.php. Den bästa lösningen skulle spara dessa i dolda ingångar när de skickas till resetpassword.php, skicka dem tillsammans med de POSTade värdena och verifiera dem en gång till från verifyNewPassword.php.
Om du vill undvika länken kan du skicka ett 303-svar med Location header inställd på https://mysite.net/resetpassword.php?id=xxx&username=yyy , med en annan valfri flagga inställd om du vill visa ett felmeddelande.