Я уже говорил halkfild`у что вывод пасса нужно сделать через htmlspecialchars($pass).
У меня нет доступа на новом хосте, так что я править скрипты я не могу, ждёмс halkfild`a...
Имхо логично будет всё-таки не добавлять простые пассы, а использовать бруттер в этом случае (может ослабить критерий простых пассов, чтоб обеспечить быстрое время брутта простых паролей.)

ЗЫ Да, в списке не расшифрованных пассов накапливаются либо хэши от простых паролей либо от сложных ;-)