这个问题我之前帮不少开发者踩过坑——本质就是密码验证失败跳转时，没把reset.php需要的email和hash这两个关键参数给带上。下面给你两种简单又靠谱的解决办法：

方案1：验证失败跳转时主动携带GET参数 #

当resetpassword.php检测到密码和确认密码不匹配时，别直接跳回reset.php，要把email和hash重新拼到跳转URL里，还要用urlencode()处理特殊字符（比如邮箱里的@、点号，避免破坏URL结构）：

// resetpassword.php 中的验证逻辑
if ($_POST['password'] !== $_POST['confirm_password']) {
    // 优先从POST取参数（如果用了方案2的隐藏字段）， fallback到GET
    $email = $_POST['email'] ?? $_GET['email'] ?? '';
    $hash = $_POST['hash'] ?? $_GET['hash'] ?? '';
    
    // 用SESSION存错误提示，方便在reset.php显示
    session_start();
    $_SESSION['reset_error'] = '密码与确认密码不匹配，请重新输入';
    
    // 跳转回reset.php并携带参数
    header("Location: reset.php?email=" . urlencode($email) . "&hash=" . urlencode($hash));
    exit; // 一定要加这个，终止脚本继续执行
}

然后在reset.php里，先获取参数并显示错误信息：

// reset.php 页面开头
session_start();
$email = $_GET['email'] ?? '';
$hash = $_GET['hash'] ?? '';
$error_msg = $_SESSION['reset_error'] ?? '';

// 显示完错误后清空SESSION，避免刷新页面重复提示
unset($_SESSION['reset_error']);

在页面中输出错误：

if (!empty($error_msg)) {
    echo '<div style="color: red;">' . htmlspecialchars($error_msg) . '</div>';
}

方案2：在表单中添加隐藏字段（更稳妥） #

把email和hash以隐藏字段的形式嵌入reset.php的表单里，这样即使页面刷新或提交，参数也会通过POST传递，不用完全依赖URL：

// reset.php 的表单代码
<form method="post" action="resetpassword.php">
    <!-- 隐藏字段保存关键参数，注意用htmlspecialchars防XSS -->
    <input type="hidden" name="email" value="<?php echo htmlspecialchars($email); ?>">
    <input type="hidden" name="hash" value="<?php echo htmlspecialchars($hash); ?>">
    
    <div>
        <label>新密码：</label>
        <input type="password" name="password" required>
    </div>
    <div>
        <label>确认密码：</label>
        <input type="password" name="confirm_password" required>
    </div>
    <button type="submit">重置密码</button>
</form>

这种方式下，resetpassword.php可以直接从POST获取参数，验证失败后再按方案1的方式跳转回带参数的reset.php即可。

额外安全提醒 #

• 输出参数到页面时必须用htmlspecialchars()，防止XSS攻击；
• 跳转URL里的参数必须用urlencode()，避免特殊字符导致URL失效；
• 在reset.php开头可以加个判断：如果email或hash为空，直接跳转到密码重置申请页面，防止非法访问。

内容的提问来源于stack exchange，提问作者Dexter