Вы меня, конечно, извините, но зачем ограничивать пользователя в выборе пароля? Зачем ограничивать длину пароля сверху? Зачем вырезать спецсимволы из его пароля, если он все равно будет хэширован (вы ведь хэшируете пароль, а не храните его plain текстом?)? Просто ограничьте минимальную длину пароля символами шестью.

P.S. И вообще как же меня выводят из себя всякие ограничения для пароля, типа: введите одну цифру, одну букву, одну букву в верхнем регистре, один спецсимвол, один китайский иероглиф. Для людей, которые делают такие формы, в аду, наверное, есть отдельный котел.

А вы пробовали запускать этот код? У вас синтаксическая ошибка, поэтому саблайм и ругается. preg_replace принимает первым аргументом строку или массив строк, и если это строка, то ее надо заключить в одинарные или двойные кавычки.

$new_var= preg_replace('/href="\/uploads/', '123', $var);