Se me ocurre que usas un <input type="password" name="contrasenia"> para obtener la contraseña de tu usuario. Eso significa que cuando procesas esta información usas o $_POST["contrasenia"] o $_GET["contrasenia"], entonces mientras tengas esta variable 'viva', significa que tienes la contraseña que tu usuario escribió aún sin encriptar...

Saludos,
HA