看起来你这问题卡在数据库更新这一步了，我扫了一眼你的代码，发现几个大概率导致失败的点，咱们一个个来排查修复：

1. 未处理数据库查询错误，也没确认是否真的有行被更新 #

你的代码里只判断了$mysqli->query($result)是否为真，但哪怕SQL语法没问题，如果邮箱不存在（WHERE条件匹配不到记录），query()也会返回true，但实际上没有任何数据被更新。而且如果数据库连接有问题或者SQL有语法错误，你也看不到错误信息，根本不知道哪里错了。

2. 存在未定义变量$password #

代码里$confirm_code = md5(rand().$password);这句中的$password根本没定义，这会产生PHP警告，虽然不一定直接导致更新失败，但可能让confirm字段的值不符合预期，甚至在严格模式下会中断执行。

3. 未使用更安全可靠的预处理语句 #

虽然你用了escape_string处理邮箱，但预处理语句不仅能彻底避免SQL注入，还能避免字符串转义带来的潜在问题，比如特殊字符导致的SQL语法错误。

4. 要确认邮箱参数是否正确传递 #

得检查confirm_pass.html的表单里有没有正确传递email字段，比如有没有隐藏的input框把用户的邮箱带过来——如果$_POST['email']是空的或者不对，WHERE条件匹配不到记录，自然不会更新密码。

修复后的完整代码 #

我把这些问题都修正了，还加了更严谨的错误处理：

<?php
session_start(); // 别忘了开启Session，不然错误信息存不了

// 开启开发环境错误提示（上线前要关掉）
error_reporting(E_ALL);
ini_set('display_errors', 1);

if ($_SERVER['REQUEST_METHOD'] == 'POST') {
    // 验证两次密码是否一致
    if ($_POST['newpassword'] === $_POST['confirmpass']) {
        $new_password = password_hash($_POST['newpassword'], PASSWORD_BCRYPT);
        $email = $_POST['email']; // 后面用预处理语句，不需要escape_string了

        // 修正未定义变量的问题，用新密码结合随机数生成确认码
        $confirm_code = md5(rand() . $new_password);

        // 使用预处理语句执行更新
        $stmt = $mysqli->prepare("UPDATE `mv_db`.`users` SET `password`=?, `confirm`=? WHERE `email`=?");
        // 绑定参数：三个字符串类型（sss）
        $stmt->bind_param("sss", $new_password, $confirm_code, $email);

        if ($stmt->execute()) {
            // 检查是否有行被更新，排除邮箱不存在的情况
            if ($stmt->affected_rows > 0) {
                header("Location: login.html");
                exit; // 跳转后必须exit，防止后续代码执行
            } else {
                $_SESSION['message'] = "找不到使用该邮箱的用户！";
                header("Location: error.php");
                exit;
            }
        } else {
            $_SESSION['message'] = "密码更新失败：" . $mysqli->error;
            header("Location: error.php");
            exit;
        }

        $stmt->close();
    } else {
        $_SESSION['message'] = "两次输入的密码不一致，请重试！";
        header("Location: error.php");
        exit;
    }
}
?>

额外排查步骤 #

1. 检查confirm_pass.html的表单，确保有类似这样的隐藏字段：

   <input type="hidden" name="email" value="<?php echo $user_email; ?>">
   

   这里的$user_email是你在发送邮件时获取到的用户邮箱，要正确传递过来。

2. 手动在数据库工具（比如phpMyAdmin）里执行更新语句，测试是否能成功：

   UPDATE `mv_db`.`users` SET `password`='测试加密密码', `confirm`='测试确认码' WHERE `email`='你的测试邮箱';
   

   如果这条语句也失败，那可能是数据库权限问题或者表结构有误（比如password字段长度不够，BCRYPT加密后的密码需要至少60位长度）。

3. 确认$mysqli数据库连接是正常的，在脚本开头可以加一句var_dump($mysqli);来检查连接状态。

内容的提问来源于stack exchange，提问作者Nadia