PHP - как сделать на сайте "восстановление пароля", если пароли в бд хранятся в виде md5 хеш кодов?

Соглашусь со всеми.
Вам стоит сделать следующее:
1) Пользователь кликает на "Восстановить пароль"
2) Отвечает на секретный вопрос, который установил при регистрации
3) Проверяем все данные, которые он ввёл, на верность
4) Если хорошо всё, то собираем письмо в котором будет ссылка
5) Как пришло письмо на почту к юзеру, он проходит по ссылке
6) Попадает на страницу, где создаёт новый пароль.
7) Сохраняет.
8) Пароль, который он ввёл пропускаем через md5() и в базу.

В ссылке стоит указывать какие-нибудь ключи, по которым система будет понимать, что за юзер хочет восстановить пароль. Но тупо ссылку делать не стоит, иначе я смогу поменять пароли кому угодно. Возможно сделать табличку где сохранять текущие "восстановления паролей", где записи хранить не более часа. а после восстановления удалять сразу же. Подумайте ещё над этим вопросом.

>> т. к при получении злоумышленником этого файла все старания будут напрасны.. .
если злоумышленник сможет получить доступ к такому файлу что ему помешает выполнить запрос в базу и поставить тот пароль который ему нужен?)) )

и лучше вариант который предложил коллега выше!

обычно не старый пароль восстанавливают, а создают новый

генерируешь новый пароль и отсылаешь пользователю, а он потом может зайти в личный кабинет и изменить на тот что ему нужен.