Pueden sacarte toda la informacion que quieran de la base de datos y acceder a zonas de la pagina sin registrarse, pero al enviar la pass sin codificar por mail, ya lo pones en bandeja.

no es que todos los piratas de la red vayan a estar pendientes de tu pagina o de tu base de datos, pero no es aconsejable usar passwords sin codificar, y menos mandarlas por mail.

pero ya te dije, donde veas en el code sha1(), QUITALO, y ya esta.

Por ejemplo:

en esta linea

mysql_real_escape_string(sha1($newpass.$seed)), mysql_real_escape_string($username));

la dejas asi:

mysql_real_escape_string($newpass.$seed), mysql_real_escape_string($username));

Y asi donde veas sha1

Un saludo