Dovresti davvero eseguire l'hashing di quelle password, usa il seguente codice
DELIMITER $$
CREATE DEFINER=`root`@`localhost` PROCEDURE `change_pass`(
in_Email VARCHAR(45),
in_PassOld VARCHAR(45),
in_PassNew VARCHAR(45)
)
BEGIN
DECLARE KnowsOldPassword INTEGER;
SELECT count(*) INTO KnowsOldPassword
FROM User
WHERE Email = in_Email AND passhash = SHA2(CONCAT(salt, in_PassOld),512);
IF (KnowsOldPassword > 0) THEN
UPDATE User
SET Passhash = SHA2(CONCAT(salt, inPassNew),512)
WHERE Email = in_Email;
END IF;
END $$
DELIMITER ;
Il salt è un campo aggiuntivo nella tabella user che è più o meno casuale, ma non ha bisogno di essere segreto. Serve a sconfiggere i tavoli arcobaleno
.
Puoi impostare salt su una stringa breve char(10) o dati casuali. per esempio.
salt = ROUND(RAND(unix_timestamp(now())*9999999999);
Non è necessario aggiornare il sale, basta generarlo una volta e quindi archiviarlo.
Per ulteriori informazioni su questo problema, vedere:
Salare i miei hash con PHP e MySQL
Come dovrei avvicinarmi eticamente alla memorizzazione della password dell'utente per il successivo recupero del testo in chiaro?
Un commento sul tuo codice
IF(@PassOld == in_PassOld) THEN //incorrect
IF(@PassOld = in_PassOld) THEN //correct, SQL <> PHP :-)
