javascript — предотвращение получения пользователем пароля из mysql или скрипта

У меня есть ссылка на моей странице, которая откроет другой сайт с помощью return window.open(
, Этот сайт — магазин, который предоставил мне возможность купить и в конечном итоге получить XML для остальных.
Если я захожу на сайт, я захожу на www.thewebsiteoftheshop.com/basket?username=user1&password=test

тогда пользователь может увидеть пароль в URL,

Первая проблема:
У меня есть база данных, где хранится имя пользователя и пароль, которые я позже добавлю с переменными в URL для имени пользователя и пароля.
Я знаю, что вставил имя пользователя и пароль, пароль Md5.
поставить, если я знаю, выберите эти данные из базы данных, он даст мне хешированный пароль, а затем ссылка не будет работать.

но вторая проблема:
Я не хочу, чтобы пользователь видел или восстановил пароль

Я думал о том, чтобы просто поместить эту страницу (там, где есть ссылка) на защищенную страницу с логином. Но единственная проблема заключается в том, что если я добавлю пароль не в хэш, а в качестве обычной строки в моей базе данных, то, возможно, кто-то извне сможет получить пароль. Так что это будет рискованно.