a parte fare un controllo su cosa ti restituiscono ad ogni ciclo i valori, e potresti prima di salvarli nelle variabili, azzerare queste variabili.
io ti sconsiglio caldamente di tenere un campo password nel db con le reali password dei tuoi utenti.. con qualche sforzo potrebbero fare seri danni . attento alla sicurezza. c'è una guida su html.it sulla sicurezza in php che per me è una bibbia al riguardo.
guida alla sicurezza php