首先，Chrome的密码数据泄露告警通常意味着浏览器检测到你使用的密码已在公开的数据泄露事件中出现过，但你提到修改密码后仍触发告警，结合你的代码来看，问题根源在于代码存在严重的安全漏洞，导致密码哈希可能已被窃取并破解，同时会话验证逻辑也有语法错误，我们一步步来解决：

一、核心问题分析 #

1. 登录验证代码的致命SQL注入漏洞 #

你的登录代码直接将用户输入的用户名和密码拼接到SQL语句中，没有任何过滤或参数化处理：

$query = mysqli_query($con, "select ID from tbladmin where UserName='$adminuser' && Password='$password' ");

攻击者可以构造恶意用户名（比如' OR 1=1 --）直接绕过登录，甚至获取所有管理员的密码哈希。由于你用MD5存储密码（MD5是极易被彩虹表破解的弱哈希），攻击者拿到哈希后能轻松得到明文密码，这些密码会被上传到泄露数据库，Chrome的密码检测功能就会触发告警。

2. 弱密码哈希算法 #

MD5已经被完全淘汰，它的碰撞攻击成本极低，彩虹表可以瞬间破解大部分常见密码。即使你修改了密码，只要还是用MD5存储，新密码的哈希依然容易被破解，进而再次触发泄露告警。

3. 会话验证逻辑的语法错误 #

你的两个Dashboard代码中，会话判断的写法完全错误：

// 错误写法：括号位置错误，逻辑完全失效
if (strlen($_SESSION['cvmsaid']==0)) { ... }

正确的逻辑应该是先检查会话是否存在，再判断ID值，而不是把布尔表达式传给strlen。这种错误可能导致会话验证失效，出现意外的跳转或权限绕过问题。

二、分步解决方案 #

1. 修复SQL注入漏洞，使用参数化查询 #

替换你的登录验证代码为参数化查询，彻底避免SQL注入：

<?php
session_start();
// 开发环境可以开启错误报告，生产环境关闭并记录日志
// error_reporting(E_ALL); ini_set('display_errors', 1);
include 'includes/dbconnection.php';

if (isset($_POST['login'])) {
    $adminuser = trim($_POST['username']);
    $password = $_POST['password'];

    // 准备参数化查询
    $stmt = mysqli_prepare($con, "SELECT ID, Password FROM tbladmin WHERE UserName = ?");
    mysqli_stmt_bind_param($stmt, "s", $adminuser);
    mysqli_stmt_execute($stmt);
    $result = mysqli_stmt_get_result($stmt);
    $admin = mysqli_fetch_array($result);

    if ($admin) {
        // 先兼容旧的MD5密码，之后要迁移到安全哈希
        if ($admin['Password'] === md5($password)) {
            $_SESSION['cvmsaid'] = $admin['ID'];
            session_regenerate_id(true); // 防止会话固定攻击
            header('Location: dashboard.php');
            exit; // 跳转后必须终止脚本执行
        } else {
            $msg = "Invalid Details.";
        }
    } else {
        $msg = "Invalid Details.";
    }
}
?>

2. 迁移到安全的密码哈希算法 #

立即替换数据库中管理员密码的MD5哈希为password_hash()生成的安全哈希：

• 先执行一次以下代码（可以临时写个脚本）生成新哈希：

  echo password_hash("你的强密码", PASSWORD_DEFAULT);
  

• 把生成的哈希值更新到tbladmin表的Password字段中。
• 然后修改登录代码中的密码验证部分为：

  if (password_verify($password, $admin['Password'])) {
      // 登录成功逻辑
  }
  

3. 修复Dashboard的会话验证逻辑 #

修正两个Dashboard的会话判断代码，确保权限控制正确：

第一位管理员的dashboard.php：

<?php
date_default_timezone_set('Asia/Kolkata');
session_start();
// 加强会话安全
ini_set('session.cookie_httponly', 1);
ini_set('session.cookie_secure', 1); // 如果你用HTTPS网站，开启这个选项
include('includes/dbconnection.php');

// 正确验证会话是否存在
if (!isset($_SESSION['cvmsaid']) || empty($_SESSION['cvmsaid'])) {
    header('Location: logout.php');
    exit;
}
// 判断是否为第二位管理员，跳转到对应面板
if ($_SESSION['cvmsaid'] == 2) {
    header('Location: dashboard2.php');
    exit;
}
?>
<!-- 这里放第一位管理员的面板内容 -->

第二位管理员的dashboard2.php：

<?php
date_default_timezone_set('Asia/Kolkata');
session_start();
ini_set('session.cookie_httponly', 1);
ini_set('session.cookie_secure', 1);
include('includes/dbconnection.php');

if (!isset($_SESSION['cvmsaid']) || empty($_SESSION['cvmsaid'])) {
    header('Location: logout.php');
    exit;
}
if ($_SESSION['cvmsaid'] == 1) {
    header('Location: dashboard.php');
    exit;
}
?>
<!-- 这里放第二位管理员的面板内容 -->

4. 彻底解决Chrome泄露告警 #

• 为两位管理员设置强密码（长度≥12位，包含大小写字母、数字、特殊字符）。
• 修复所有漏洞后，确保密码不再被窃取，Chrome的检测系统会在一段时间后停止告警（或者你可以在Chrome的密码管理器中手动更新密码记录）。

额外安全建议 #

• 关闭error_reporting(0)，在开发环境开启错误报告，生产环境将错误记录到日志文件而不是显示给用户。
• 为会话设置过期时间，避免长期未操作的会话保持活跃。
• 考虑添加IP绑定或双因素认证，进一步提升管理员账户的安全性。

内容的提问来源于stack exchange，提问作者Seep Sooo