Você deve realmente fazer hash dessas senhas, use o seguinte código
DELIMITER $$
CREATE DEFINER=`root`@`localhost` PROCEDURE `change_pass`(
in_Email VARCHAR(45),
in_PassOld VARCHAR(45),
in_PassNew VARCHAR(45)
)
BEGIN
DECLARE KnowsOldPassword INTEGER;
SELECT count(*) INTO KnowsOldPassword
FROM User
WHERE Email = in_Email AND passhash = SHA2(CONCAT(salt, in_PassOld),512);
IF (KnowsOldPassword > 0) THEN
UPDATE User
SET Passhash = SHA2(CONCAT(salt, inPassNew),512)
WHERE Email = in_Email;
END IF;
END $$
DELIMITER ;
O
salt é um campo extra na tabela user que é mais ou menos aleatório, mas não precisa ser secreto. Serve para derrotar mesas arco-íris
.Você pode definir salt para uma string curta char(10) ou dados aleatórios. por exemplo.
salt = ROUND(RAND(unix_timestamp(now())*9999999999);
Você não precisa atualizar o sal, apenas gerá-lo uma vez e armazená-lo.
Para saber mais sobre esse problema, consulte:
Salgando meus hashes com PHP e MySQL
Como devo abordar eticamente o armazenamento de senha do usuário para recuperação posterior de texto simples?
Um comentário sobre seu código
IF(@PassOld == in_PassOld) THEN //incorrect
IF(@PassOld = in_PassOld) THEN //correct, SQL <> PHP :-)
