Hmjoa... oder register_globals sind off und $pwd wird nicht übernommen. In dem Fall $pwd durch $_POST["pwd"] ersetzen.
Auch aus "" (nichts) kann man einen md5-Hash errechnen lassen.