Lo correcto es encriptarlas de una forma que no se puedan desencriptar, ya que no tienen porque ser desencriptables, esa información no debería poder ser accedida por nadie, ni siquiera por ti, y el sistema sigue siendo igual de eficaz aunque la contraseña sea desencriptable.

Sobre lo de que no te procesa las etiquetas, es que eso es precisamente lo que hace htmlentities, cambiar los signos para que las etiquetas no se procesen, para que se muestren, y de esta forma evitar los ataques XSS.

Sobre lo que dijo Luisus, cada uno puede colaborar/ayudar lo que quiera, si yo estoy colaborando de más en este post es por mi voluntad.

Un saludo

Si dejo un campo vacio y le añado al update, es decir, $password no tiene nada porque no han escrito nada, pero en el update esta puesto $password, me reemplazaría el cntenido del campo en la bbdd y lo dejaría vacío?