Puoi anche fare il controllo sul tuo codice dopo l'update... in $totale ottieni il numero di riche modificate e la condizione che usi nell'update impone di modificare solo le righe in cui la password vecchia coincide...

dopo l'update se $totale è 0 significa che l'utente ha inserito una vecchia password inesistente!

Vorrei invece porti un'altra problematica: se due utenti hanno la password uguale? La cambi a tutti e due?
Io inserirei anche un controllo sul nick in modo da ottenere una sostituzione univoca!