gracias por responder a los dos,

gnzsoloyo, no no es eso que comentas, no estoy comparando password de la tabla user ni nada parecido, no tiene nada que ver.

orodrf, gracias por la recomendación, lo tendré en cuenta, sobre todo el tema de la longuitud de la cadena por que por ahi van los tiros.

Esto es lo que he estado investigando hasta ahora, he hecho un strlen() de la cadena $password despues de desencriptarla y antes de hacer el mysql_connet() y resulta que la cadena tiene 10 caracteres más que la original, luego le he hecho un var_export() y resulta que la función mdecrypt_generic() le mete 10 caracteres mas al final de la cadena que genera, parece que es información adicional, lo que muestra de relleno es lo siguiente:
password mysql : LW3w82AvZmxazEfZGR32m1 y var_export() muestra esto :

'LW3w82AvZmxazEfZGR32m1' . "\0" . '' . "\0" . '' . "\0" . '' . "\0" . '' . "\0" . '' . "\0" . '' . "\0" . '' . "\0" . '' . "\0" . '' . "\0" . ''

como puedo solucionarlo? divido la cadena en dos a partir del caracter 20?
no se porque hace eso mdecrypt_generic, alguna idea? gracias.