Du bør virkelig hash disse adgangskoder, brug følgende kode
DELIMITER $$
CREATE DEFINER=`root`@`localhost` PROCEDURE `change_pass`(
in_Email VARCHAR(45),
in_PassOld VARCHAR(45),
in_PassNew VARCHAR(45)
)
BEGIN
DECLARE KnowsOldPassword INTEGER;
SELECT count(*) INTO KnowsOldPassword
FROM User
WHERE Email = in_Email AND passhash = SHA2(CONCAT(salt, in_PassOld),512);
IF (KnowsOldPassword > 0) THEN
UPDATE User
SET Passhash = SHA2(CONCAT(salt, inPassNew),512)
WHERE Email = in_Email;
END IF;
END $$
DELIMITER ;
salt er et ekstra felt i tabellen user det er mere eller mindre tilfældigt, men behøver ikke at være hemmeligt. Det tjener til at besejre regnbueborde
.
Du kan indstille salt til en kort streng char(10) eller tilfældige data. for eksempel.
salt = ROUND(RAND(unix_timestamp(now())*9999999999);
Du behøver ikke at opdatere saltet, bare generér det én gang og gem det derefter.
For mere om dette spørgsmål se:
Salter mine hashes med PHP og MySQL
Hvordan skal jeg etisk forholde mig til opbevaring af brugeradgangskode til senere hentning af almindelig tekst?
En kommentar til din kode
IF(@PassOld == in_PassOld) THEN //incorrect
IF(@PassOld = in_PassOld) THEN //correct, SQL <> PHP :-)