Romul Достаточно просто подумать.
1. >>как ему его вернуть?
А зачем? Может, он его не просто забыл, а бумажку потерял? Или еще баги у него в голове? В любом случае, пароль скомпрометирован. А юзер может использовать его во многих местах. Значит, нужно разделить пространство авторизации принципала. Сгенерировать ему пароль, отвечающий требованиям секретности и сообщить. Причем, в особо секьюрных системах - пароль должен быть одноразовый.
Порекомендую книгу "Writing Secure Code" (издавалась в серии MS NET Fundamentals).
2. >> залогинивание пользователя?
Что ты подразумеваешь под термином?
3. >> передается из страницы в страницу
Вооот. Ближе к телу. Передавать можно разными способами.
Cookie. Сессии. И о том, и другом читается в мануале (в онлайне, там примеры).
Много ответов на твои вопросы есть на phpfaq.ru и в разделе FAQ форума.