Если пользователь может указать свое имя пользователя и существенно настроить страницу своего профиля, то вы рискуете включить мошеннические / фишинговые атаки.
Например, я мог бы зарегистрироваться с именем пользователя «passwordreset», а затем поместить форму (или ссылку на форму) на страницу своего профиля, а затем попытаться убедить людей, что им нужно сбросить свои пароли, посетив example.com/passwordreset.
Тогда я мог бы собрать пароли.
Если URL-адрес был example.com/users/passwordreset, есть больше шансов, что предупредительный пользователь станет подозрительным.