Je moet die wachtwoorden echt hashen, gebruik de volgende code
DELIMITER $$
CREATE DEFINER=`root`@`localhost` PROCEDURE `change_pass`(
in_Email VARCHAR(45),
in_PassOld VARCHAR(45),
in_PassNew VARCHAR(45)
)
BEGIN
DECLARE KnowsOldPassword INTEGER;
SELECT count(*) INTO KnowsOldPassword
FROM User
WHERE Email = in_Email AND passhash = SHA2(CONCAT(salt, in_PassOld),512);
IF (KnowsOldPassword > 0) THEN
UPDATE User
SET Passhash = SHA2(CONCAT(salt, inPassNew),512)
WHERE Email = in_Email;
END IF;
END $$
DELIMITER ;
Het salt is een extra veld in tabel user dat is min of meer willekeurig, maar hoeft niet geheim te zijn. Het dient om regenboogtabellen
te verslaan .
Je kunt salt instellen op een korte tekenreeks char (10) of willekeurige gegevens. bijv.
salt = ROUND(RAND(unix_timestamp(now())*9999999999);
U hoeft het zout niet bij te werken, u hoeft het slechts één keer te genereren en vervolgens op te slaan.
Zie voor meer informatie over dit probleem:
Mijn hashes zouten met PHP en MySQL
Hoe moet ik ethisch omgaan met het opslaan van gebruikerswachtwoorden voor later ophalen van leesbare tekst?
Een opmerking over je code
IF(@PassOld == in_PassOld) THEN //incorrect
IF(@PassOld = in_PassOld) THEN //correct, SQL <> PHP :-)