Nunca me fio del usuario.

La variable $username la tengo bien controlado, el usuario no puede colar nada extraño.
La variable $password se convierte en md5, con lo que no hay forma de que se cuele nada.

La duda era en la variable $passwordNoMD5, es el único punto que me "preocupa".