PHP中使用password_verify函数实现登录时遇到问题

阿华AIGC实验室

2026-5-26

解决password_verify验证密码返回false的问题

看来你在做PHP登录功能时，碰到了password_verify总是返回false的棘手问题——明明输入的密码是对的，却一直提示“invalid username or password”对吧？我帮你梳理几个最常见的排查方向和解决方案：

1. 先确认数据库存储的是合法的password_hash哈希值

password_verify只能验证由PHP自带的password_hash()生成的哈希字符串，如果你数据库里存的是明文密码、MD5/SHA1加密值，或者其他自定义加密的内容，那肯定验证失败。

你可以直接去数据库里查看password字段的值，正常的password_hash哈希格式是这样的：$2y$10$xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx，开头会有 $2y$ 或 $2a$ 这类标识，长度固定为60个字符左右。

2. 检查数据库密码字段的长度

password_hash生成的哈希默认是60字符，所以你的password字段长度必须至少设置为60（推荐设为255，留足未来算法更新的余量）。如果字段长度不够（比如设成了30），哈希值会被数据库截断，自然无法通过验证。

3. 核对变量与字段名的拼写

看你的代码：

前端传的密码是$_POST['passwords']，要确认表单里的密码输入框name属性确实是passwords，别写成password或者其他拼写错误；
数据库取的是$data['password']，要确认数据库里的字段名就是password，不是pass或者其他变体。

4. 别对原始密码做多余处理

你的代码里只对邮箱做了mysqli_real_escape_string转义，这部分是对的，但要确保没有对$Password = $_POST['passwords'];做其他修改——比如不小心对密码也做了转义、trim（如果用户确实需要输入首尾空格的话）或者其他加密操作，都会导致原始密码和哈希对应的密码不一致，验证失败。

5. 加调试代码直观排查

可以临时加几行调试代码（上线前记得删掉），看看实际值到底是什么：

// 临时调试用，上线务必删除！
echo "用户输入的密码：" . htmlspecialchars($Password) . "<br>";
echo "数据库存储的哈希：" . htmlspecialchars($data['password']) . "<br>";
var_dump(password_verify($Password, $data['password']));

这样能快速发现问题：比如密码前后有没有多余空格、哈希是否被截断、是不是哈希本身就不对。

修正后的示例代码

这里给你调整了一些细节，更规范也更安全：

<?php
// 先开启会话（如果登录后要用到session的话）
session_start();

if (!empty($_POST)) { // isset($_POST)其实没必要，empty已经包含了判断
    $email = $_POST['email'];
    $inputPassword = $_POST['passwords'];

    // 推荐用预处理语句防SQL注入，比mysqli_real_escape_string更安全
    $stmt = $conn->prepare("SELECT password FROM registered_users WHERE Student_email = ?");
    $stmt->bind_param("s", $email);
    $stmt->execute();
    $result = $stmt->get_result();

    if ($result->num_rows === 1) {
        $userData = $result->fetch_assoc();
        $isPasswordMatch = password_verify($inputPassword, $userData['password']);
        
        if (!$isPasswordMatch) {
            $msg = "invalid username or password";
        } else {
            // 登录成功，写入session并跳转
            $_SESSION['user_email'] = $email;
            header("Location: dashboard.php");
            exit; // 跳转后务必exit，防止后续代码执行
        }
    } else {
        $msg = "invalid username or password";
    }
}