Il codice non metterlo tutto su una riga, riformattalo o diventa incomprensibile.

Al momento del login metti in sessione l'id dell'utente che si è appena loggato ed usi quello per determinare a chi cambiare la password.