保險的話，可以做一個取回密碼記錄表，每取一次做一下記錄，每取時也要按照時間查詢一下當天是否超過三次，加上本次。然后做出反應，這樣也相當于有個日志表，方便以后查看該用戶每次取回密碼時的詳細時間和IP等。

還有一種就是給用戶表加兩字段，一個記錄最后取回密碼的時間，一個記錄次數，當今天第一次取回密碼的時候，判斷時間字段是否是今天，如果不是則當前是第一次，則清空記錄次數的字段，并加1，并更新時間字段。就這樣，當然當天時間超過三次的時候就返回錯誤了。

建議采用第一種方法。

有2種方法：

1、建立一個cookies，用于保存獲取次數并同時記錄日期，如果日期為當天同時超過3次就不允許其取回密碼，這個是最常用的方法而且是比較簡單、消耗資源比較少的，許多網站都是這種做法。但是只要客戶一旦清空了cookies就無效了，不太安全

2、在數據庫中建立張表，字段：用戶名、取回密碼次數、取回密碼時間，每次用戶取回密碼先在這張表中檢查下今天這個用戶有沒取回過密碼，如果沒有取回過則新增一條記錄，記錄用戶名、取回次數為1，取回時間，如果已經取回過則更新這個字段的取回次數+1和取回時間，滿3次則不允許取回。這種方法比較煩，但是比較安全。

注意：這種方法在取回時需要將這個用戶今天以前取回密碼的記錄刪除掉，否則這張表記錄會非常多