De qualquer forma que você escrever isso, você vai precisa destes xxx e yyy valores em VerifyNewPassword.php. A melhor solução seria salvá-los em entradas ocultas quando passados ​​para resetpassword.php, enviá-los junto com os valores POSTados e verificá-los mais uma vez em VerifyNewPassword.php.

Se você quiser evitar o link, envie uma resposta 303 com o Location cabeçalho definido como http://mysite.net/resetpassword.php?id=xxx&username=yyy , com outro sinalizador opcional definido se você quiser exibir uma mensagem de erro.