Du hast mich nicht richtig verstanden.
OMR darf gar nicht die möglichkeit haben mir mein Passwort zuzuschicken, wenn ich es vergessen habe.
Denn wenn das Script (also das für Passwort-Vergessen) mein Passwort aus der Datenbank auslesen kann, dann kann es auch jeder andere tun, der Zugriff auf die Datenbank hat oder sich verschafft.
Falls ich mein Passwort vergessen habe und die Passwort vergessen-Funktion nutze, dann sollte OMR ein neues Passwort generieren. Dieses mir per Mail schicken, das Passwort dann aber hashen und nur so in der Datenbank speichern.
Dies ist aber eigentlich auch gängige Praxis und sollte den Entwicklern auch bekannt sein.
Hoffe ich habe dieses nun klarer dargestellt...
Siehe dazu bespielsweise:
http://de.php.net/crypt oder
http://www.php-faq.de/q/q-safe-password.html