Vous devriez vraiment hacher ces mots de passe, utilisez le code suivant
DELIMITER $$
CREATE DEFINER=`root`@`localhost` PROCEDURE `change_pass`(
in_Email VARCHAR(45),
in_PassOld VARCHAR(45),
in_PassNew VARCHAR(45)
)
BEGIN
DECLARE KnowsOldPassword INTEGER;
SELECT count(*) INTO KnowsOldPassword
FROM User
WHERE Email = in_Email AND passhash = SHA2(CONCAT(salt, in_PassOld),512);
IF (KnowsOldPassword > 0) THEN
UPDATE User
SET Passhash = SHA2(CONCAT(salt, inPassNew),512)
WHERE Email = in_Email;
END IF;
END $$
DELIMITER ;
Le salt est un champ supplémentaire dans la table user qui est plus ou moins aléatoire, mais n'a pas besoin d'être secret. Il sert à vaincre les tables arc-en-ciel
.
Vous pouvez définir salt sur une chaîne courte char(10) ou sur des données aléatoires. par exemple.
salt = ROUND(RAND(unix_timestamp(now())*9999999999);
Vous n'avez pas besoin de mettre à jour le sel, générez-le simplement une fois, puis stockez-le.
Pour en savoir plus sur ce problème, consultez :
Saler mes hachages avec PHP et MySQL
Comment dois-je aborder de manière éthique le stockage des mots de passe des utilisateurs pour une récupération ultérieure en clair ?
Un commentaire sur votre code
IF(@PassOld == in_PassOld) THEN //incorrect
IF(@PassOld = in_PassOld) THEN //correct, SQL <> PHP :-)
