Naprawdę powinieneś zahaszować te hasła, użyj następującego kodu
DELIMITER $$
CREATE DEFINER=`root`@`localhost` PROCEDURE `change_pass`(
in_Email VARCHAR(45),
in_PassOld VARCHAR(45),
in_PassNew VARCHAR(45)
)
BEGIN
DECLARE KnowsOldPassword INTEGER;
SELECT count(*) INTO KnowsOldPassword
FROM User
WHERE Email = in_Email AND passhash = SHA2(CONCAT(salt, in_PassOld),512);
IF (KnowsOldPassword > 0) THEN
UPDATE User
SET Passhash = SHA2(CONCAT(salt, inPassNew),512)
WHERE Email = in_Email;
END IF;
END $$
DELIMITER ;
salt to dodatkowe pole w tabeli user to jest mniej lub bardziej przypadkowe, ale nie musi być tajne. Służy do pokonania tęczowych stołów
.
Możesz ustawić sól na krótki ciąg znaków(10) lub losowe dane. np.
salt = ROUND(RAND(unix_timestamp(now())*9999999999);
Nie musisz aktualizować soli, wystarczy wygenerować ją raz, a następnie zapisać.
Aby uzyskać więcej informacji na ten temat, zobacz:
Solenie moich skrótów za pomocą PHP i MySQL
Jak mam etycznie podejść do przechowywania haseł użytkownika w celu późniejszego wyszukiwania zwykłego tekstu?
Komentarz do Twojego kodu
IF(@PassOld == in_PassOld) THEN //incorrect
IF(@PassOld = in_PassOld) THEN //correct, SQL <> PHP :-)
