- Si es algo mínimamente serio yo no utilizaría md5. En la propia documentación de PHP desaconsejan su uso. Utiliza PHPass

- Tienes que sanear esas variables recogidas mediantes el método POST antes de metarlas en la base de datos.

- ¿Para qué quieres mandarla codificada? Descarto que sea por temas de seguridad viendo las lagunas de tu código.

Saludos.