Hola, según la pagina de php no es recomendable encriptar con md5:

http://php.net/manual/es/function.md5.php

Pero yo también lo uso para encriptar claves xD(sistemas pequeños), y concuerdo totalmente, que mostrar la cantidad de caracteres de una password es una mala practica, lo mejor seria solo poner 6 * (******) en vez de la consulta.