1 - se supone que tienes en la DB un hash asociado a un email, pera dar el acceso al usuario en la URL pasas ambos (email y el hash), lo primero que haces es buscar el registro por email, si no existe ninguno bloqueas el intento, pero si existe y no coincide el hash: bloqueas el intento;

se supone que si todo sale bien, muestres el form para cambiar la contraseña.

2 - ) claro, porque él no sabe como generas el hash, pero puede llegar a reconocerlo si ve un hash tan obvio como uno de 32 caracteres, es por ello que si aplicas ciertas combinaciones le resultará más difícil, incluso puedes determinar un rango de longitud de por ejemplo entre 40 y 60 caracteres y generar de forma aleatoria de cuanto será el largo.

¿quieres evitar bots?: simple: genera un captcha justo antes de mostrar el formulario de recuperación, independientemente de si el código es correcto o no, la idea es jugar con las sesiones, si el código hash es correcto, el usuario debe enviar el captcha, y si todo va bien muestras el form.

si el código es incorrecto, muestras igual el captcha, al validar el captcha muestras el error de código inválido o expirado, al menos es una alternativa a prueba de bots, porque para acceder al form deben de interpretar un captcha, poniéndoselas más difícil