Du borde verkligen hasha dessa lösenord, använd följande kod
DELIMITER $$
CREATE DEFINER=`root`@`localhost` PROCEDURE `change_pass`(
in_Email VARCHAR(45),
in_PassOld VARCHAR(45),
in_PassNew VARCHAR(45)
)
BEGIN
DECLARE KnowsOldPassword INTEGER;
SELECT count(*) INTO KnowsOldPassword
FROM User
WHERE Email = in_Email AND passhash = SHA2(CONCAT(salt, in_PassOld),512);
IF (KnowsOldPassword > 0) THEN
UPDATE User
SET Passhash = SHA2(CONCAT(salt, inPassNew),512)
WHERE Email = in_Email;
END IF;
END $$
DELIMITER ;
salt är ett extra fält i tabellen user det är mer eller mindre slumpmässigt, men behöver inte vara hemligt. Det tjänar till att besegra regnbågstabeller
.
Du kan ställa in salt till en kort sträng char(10) eller slumpmässiga data. t.ex.
salt = ROUND(RAND(unix_timestamp(now())*9999999999);
Du behöver inte uppdatera saltet, bara generera det en gång och lagra det sedan.
För mer om det här problemet se:
Saltar mina hash med PHP och MySQL
Hur bör jag etiskt förhålla sig till lagring av användarlösenord för senare klartexthämtning?
En kommentar om din kod
IF(@PassOld == in_PassOld) THEN //incorrect
IF(@PassOld = in_PassOld) THEN //correct, SQL <> PHP :-)