你的问题出在mysqli_fetch_assoc($query)只会从查询结果里取出第一行数据，所以自然只能匹配表中的第一个管理员账号。要实现全表匹配，我们有两种思路，其中更高效更安全的是直接让数据库帮你筛选出匹配的记录，而不是把所有数据拉到PHP里循环判断。

推荐方案：数据库层面直接筛选（安全高效） #

与其把所有管理员数据都查出来再挨个比对，不如直接在SQL查询里加入条件，只查询和当前会话中登录凭据匹配的记录。这样不仅减少数据传输，还能避免SQL注入风险（一定要用预处理语句！）。

另外必须提醒：绝对不要明文存储密码！你的示例里密码是明文的，这是严重的安全漏洞。应该用password_hash()加密存储，验证时用password_verify()。下面是修正后的完整代码：

步骤1：先修正密码存储（如果还没做） #

如果你的表现在还是明文密码，先更新数据：

// 比如更新第一个管理员的密码为加密后的字符串
$hashedPassword = password_hash('123', PASSWORD_DEFAULT);
mysqli_query($link, "UPDATE admin SET password = '$hashedPassword' WHERE AdminID = 1");
// 同理更新第二个管理员
$hashedPassword2 = password_hash('321', PASSWORD_DEFAULT);
mysqli_query($link, "UPDATE admin SET password = '$hashedPassword2' WHERE AdminID = 2");

步骤2：安全的验证代码 #

// 先确保会话已启动
session_start();

// 预处理查询，避免SQL注入
$stmt = mysqli_prepare($link, "SELECT password FROM admin WHERE login = ?");
// 绑定参数，s表示字符串类型
mysqli_stmt_bind_param($stmt, "s", $_SESSION['login']);
// 执行查询
mysqli_stmt_execute($stmt);
// 获取结果
$result = mysqli_stmt_get_result($stmt);

// 检查是否有匹配的记录
if ($admin = mysqli_fetch_assoc($result)) {
    // 验证密码（注意这里用password_verify，不要直接比对）
    if (password_verify($_SESSION['password'], $admin['password'])) {
        $auth = true;
        header("Location: admin.php");
        exit; // 跳转后一定要exit，防止后续代码执行
    }
}

// 如果走到这里，说明凭据不匹配
$auth = false;

为什么你的原代码不行？ #

原代码中$AdminArr = mysqli_fetch_assoc($query);只获取了查询结果的第一行，所以只会和AdminID=1的账号比对。如果一定要用循环遍历所有行（不推荐，效率低），可以这样写，但强烈建议用上面的方案：

$query = mysqli_query($link, "select login, password from admin");
$auth = false;
// 循环遍历每一行数据
while ($AdminArr = mysqli_fetch_assoc($query)) {
    if ($_SESSION['login'] === $AdminArr['login'] && password_verify($_SESSION['password'], $AdminArr['password'])) {
        $auth = true;
        header("Location:admin.php");
        exit;
    }
}

关键安全提醒 #

• 永远不要明文存储密码，使用PHP内置的password_hash()和password_verify()处理密码。
• 必须使用预处理语句（prepared statements）来防止SQL注入攻击，直接拼接用户输入到SQL里是非常危险的。
• 跳转后一定要调用exit或die()，避免后续代码继续执行。

内容的提问来源于stack exchange，提问作者Merlin2ify