在用户登录界面，添加一个“忘记密码”链接，点击链接跳转到“忘记密码”页，在“忘记密码”页输入并提交学号和邮箱。若学号和邮箱都存在，发送verifycode邮件并跳转至重设密码页。
在重设密码页，提交verifycode和新密码，若verifycode验证通过，将当前学号对应的用户密码重置为新密码。

在新用户注册时记录其邮箱，为保持兼容，数据库中email列可以为空。
#2 相关

为方便已忘记密码且未设邮箱的用户找回密码，在财务部管理界面，允许管理员为用户添加/修改邮箱。

数据库：user表新增一个email列
新增一个用户账户管理页（比如叫”我的账户“）。
如果用户还没有邮箱，允许用户添加邮箱。
如果用户已经有邮箱，在这个页面上显示该邮箱。
（修改邮箱功能可以先不做）

在服务器上设置好环境变量，代码中从环境变量读取需要的敏感信息。这样不用在每次发布时再修改文件了。

参考 http://php.net/manual/zh/book.password.php ，使用password_hash创建密码的hash，验证密码时使用password_verify。
数据库：user表新增一个passwordhash列。
为使现在已经使用老密码hash的用户能继续登录，应在保留现有hash的基础上，在下一次用户登录时，成功验证密码以后，将密码计算新hash并保存，再删去老hash。
新用户注册时可以直接新hash。