Aber eigentlich liegt ja der Fehler ganz bei Dir.
Das richtige Passwort ist wahrscheinlich 1$xgz7BD. Mit Deinem Beispielcode kannst Du's eh leicht überprüfen. ;-)

Er kann doch den Kontext nicht erraten, indem das Passwort verwendet wird. Die Kontext-gerechte Maskierung liegt in der Verantwortung des Anwenders.

Ja, aber nachdem das ganze auf einem von uns betreuten Server läuft kann ich den Code reinschaun - wird sicher spassig - das nächste mal bekommt er als Passwort 1';die();/* zugeschickt :D