Для пыхпыхарей это нормально - как и вывод разметки через эху, и прочие мозгораковые вещи, которые здравомыслящий человек никогда не совершит. Если уж сих пор есть сайты допускающие инъекции через данные формы... MD5 от пароля (даже несоленый) на фоне таких ужасов смотрится вполне невинно.
Ненормально. Для хеширования паролей в современном PHP есть функции password_hash и password_verify, их и используй, а старьё выкидывай сразу, за 15 лет изменилось очень многое. И функция password_hash не просто так хеширует, а специальным алгоритмом, устойчивым к перебору (причём алгоритмов на выбор несколько).