sql >> Databáze >  >> RDS >> Mysql

MYSQL:Postup s příkazem if

Měli byste tato hesla opravdu hashovat, použijte následující kód

DELIMITER $$

CREATE DEFINER=`root`@`localhost` PROCEDURE `change_pass`(
    in_Email VARCHAR(45),
    in_PassOld VARCHAR(45),
    in_PassNew VARCHAR(45)
)
BEGIN
  DECLARE KnowsOldPassword INTEGER;

  SELECT count(*) INTO KnowsOldPassword 
    FROM User 
    WHERE Email = in_Email AND passhash = SHA2(CONCAT(salt, in_PassOld),512);
  IF (KnowsOldPassword > 0) THEN
    UPDATE User 
      SET Passhash = SHA2(CONCAT(salt, inPassNew),512) 
      WHERE Email = in_Email;
  END IF;
END $$

DELIMITER ;

salt je další pole v tabulce user to je víceméně náhodné, ale nemusí být tajné. Slouží k poražení duhových stolů .
Můžete nastavit sůl na krátký řetězec char(10) nebo náhodná data. např.

salt = ROUND(RAND(unix_timestamp(now())*9999999999);

Sůl není třeba aktualizovat, stačí ji jednou vygenerovat a poté uložit.

Další informace o tomto problému naleznete na:
Solení mých hashů pomocí PHP a MySQL
Jak bych měl eticky přistupovat k ukládání uživatelských hesel pro pozdější načtení prostého textu?

Komentář k vašemu kódu

IF(@PassOld == in_PassOld) THEN  //incorrect 
IF(@PassOld = in_PassOld) THEN   //correct, SQL <> PHP :-)



  1. SCD typ 2

  2. Příkaz VALUES v MySQL

  3. Jak vyzkoušet více SELECTů, dokud nebude k dispozici výsledek?

  4. Existuje nějaký trik, který umožní MySQL ignorovat koncovou čárku v klauzuli SET příkazu UPDATE?