Lo que dice Artificium es correcto. Lo que debes guardar siempre en la base de datos es el resultado de la función md5($password) y no la contraseña en sí. Lo que tienes que validar no es la contraseña; sino que md5($password) == $md5_password_guardado. No puedes decodificar el resultado de una función MD5. No hay forma de volver atrás. Por eso es bastante segura, pues no guardas la contraseña (en este caso), sino el valor MD5 que le corresponde (una especie de HASH o CRC, para compararlo con algo). En tu caso
Código PHP:
Ver original<?php
if (md5($password) == $md5_password_guardado) echo "Contraseña correcta."; // ó lo que quieras hacer
else
echo "Contraseña incorrecta.";
?>