Scusa, ho cercato di capire la logica del tuo sistema di login, forse sono io che non capisco, però mi sono un po perso in alcune parti...
Penso però, che se vuoi fare una cosa ancora più "sicura" potresti fare l'md5 del valore casuale e della password combinati insieme, così ti viene generata una sola stringa md5 che è ben più difficile da decifrare, fai un passaggio in più ma incrementi la sicurezza.
In ogni caso, per quanto riguarda il tuo problema, non riesco a capire perché vuoi usare javascript, javascript ti servirebbe soltanto per inserire il valore md5 del campo password nel campo hidden, ma non per altro, tutti gli altri controlli successivi li puoi fare con PHP, o sbaglio?