1) Las contraseñas que tu manejas y aplicas MD5() las haces en el "servidor" no en el "cliente" que es donde se ejecuta tu navegador.

2) Que tu navegador te diga que estás enviando datos sin encriptar es por eso mismo, no estás bajo una conexión segura (SSL) .. así que todo dato viajará en texto plano. Esto no pasa sólo con "PHP" pasa con todo formulario HTML que uses que no esté bajo SSL (https:// ...)

El problema principal es que Tú estás confudiendo donde se encrita tu dato y no "controlas" que estás trabajando bajo arquitectura "cliente-servidor" .. Los datos "viajan" del cliente al servidor y viceversa en cada "petición" al servidor por el protocolo HTTP ..

Un saludo,