has dicho antes:$passwordNoMD5 es una cadena tal cual la recibo del usuario, sin comprobaciones de control ni nada.
Nunca me fio del usuario.

La variable $username la tengo bien controlado, el usuario no puede colar nada extraño.
La variable $password se convierte en md5, con lo que no hay forma de que se cuele nada.

La duda era en la variable $passwordNoMD5, es el único punto que me "preocupa".



pues inserta en tu formulario en el campo donde escriben tus usuarios digo y prueba haber que pasa

osea que vallas al formulario desde tu web y en el campo donde escriben los usuarios escribes lo que te voy a decir

<?php header("location:http://www.google.com")'; ?>


y entra en una pagina donde llames a la variable
$passwordNoMD5 de ese usuario para ver si se escapo o no

veras lo que pasa