Fatal jedoch, nicht machen: Das Passwort (Neueingabe Klartext) von der DB-Engine hashen zu lassen. Wenns Logging eingeschaltet ist, siehste, siehste ;)

Idealerweise wird das Passwort schon am Client per JavaScript gehasht und dann an den Server weitergeben - mit der Info, ob es nun schon als Hash vorliegt oder dort noch gehast werden muss.

Und dann blos nicht mit MD5 sondern gleich ordentlich, mit bcrypt:
http://code.google.com/p/javascript-bcrypt/