Womit wir beim Thema wären: Kann es sein, dass dein Request überhaupt kein Passwort enthält, was länger oder gleich 5 Zeichen ist und er damit irgendwann mal den Ascii-Code von "" ermitteln will?