A ph! valóban visszaküldi a jelszót, és kicsillagozza, de miért kéne ugyanígy eljárnod feladva az md5-öt? Mi a cél a jelszó mezővel? Hogy a módosult adatok visszatételekor ugyanazt a jelszót tegye vissza adatbázisba (ha nem volt jelszómódosítás) ?
Egy lehetséges megoldás, hogy az md5 hash-t rakod a jelszószövegdobozba, ha belekattintanak a szövegdobozba, lenullázod, form post előtt pedig javascripttel csinálsz md5 hash-t a jelszóból és ezt küldöd vissza ( van kész javascript algoritmus ).
Vagy például generálsz php-val egy random valamit a szövegdobozba (így lesz csillagod is), sessionbe elrakod, és ha ugyanazt kapod vissza, akkor nem változtatod a jelszót, egyébként igen.
Thank you to god for making me an atheist
