A jelszó védendő, ergo nem küldjük sehova: már a kliensben készül belőle egy sha512(md5(pass)+sha1(pass)+sha512(pass)) string, aminek fix a hossza, és tök mindegy, hogy hány ezer karakteres volt a pass, amíg a kliens függvényeket nem robbantja fel, addig a szerver oldal egy fix hosszú stringgel tud számolni. De ez csak egy móricka megoldás. :-)