De ese modo como lo haces no lo podrás corregir jamás ya que un valor codificado en md5 no puede ser decodificarse con nada. No es así como debes hacer tu formulario. Nunca se ha visto que entre los campos del usuario también deba estar la contraseña con su valor (aunque no se muestre porque está enmascarado). Debes tener un apartado llamado "Modificar contraseña" en ese apartado hay tres campos: "Contraseña actual", "Nueva Contraseña", "Confirme nueva Contraseña". Solamente cuando la "Contraseña actual" sea la correcta y haya ingresado la Nueva Contraseña y su confirmación correctamente se va a dar el update para modificar la contraseña, en otro caso no y a mi parecer eso se debe hacer utilizando otro sentencia sql a parte, no dentro de la sentencia de la actualización de los demás datos. Esa es la forma que suelo ver en los administradores de usuarios y es la que me parece mas conveniente. Ese es mi consejo. Suerte!