Наистина трябва да хеширате тези пароли, използвайте следния код
DELIMITER $$
CREATE DEFINER=`root`@`localhost` PROCEDURE `change_pass`(
in_Email VARCHAR(45),
in_PassOld VARCHAR(45),
in_PassNew VARCHAR(45)
)
BEGIN
DECLARE KnowsOldPassword INTEGER;
SELECT count(*) INTO KnowsOldPassword
FROM User
WHERE Email = in_Email AND passhash = SHA2(CONCAT(salt, in_PassOld),512);
IF (KnowsOldPassword > 0) THEN
UPDATE User
SET Passhash = SHA2(CONCAT(salt, inPassNew),512)
WHERE Email = in_Email;
END IF;
END $$
DELIMITER ;
salt
е допълнително поле в таблица user
това е повече или по-малко случайно, но не е необходимо да е тайно. Той служи за побеждаване на дъгови маси
.
Можете да зададете сол на кратък низ char(10) или произволни данни. напр.
salt = ROUND(RAND(unix_timestamp(now())*9999999999);
Не е необходимо да актуализирате солта, просто я генерирайте веднъж и след това я съхранявайте.
За повече информация по този въпрос вижте:
Осоляване на хешовете ми с PHP и MySQL
Как трябва етично да подхождам към съхранението на потребителска парола за по-късно извличане на обикновен текст?
Коментар за вашия код
IF(@PassOld == in_PassOld) THEN //incorrect
IF(@PassOld = in_PassOld) THEN //correct, SQL <> PHP :-)