看起来你的注册流程能正常生成用户和哈希密码，但登录验证失败，大概率是登录环节的密码验证逻辑出了问题，或者注册时的哈希过程有细节疏漏。我帮你梳理几个最常见的排查方向，附上手把手的修正建议：

这是最容易踩的坑——password_hash()生成的哈希值自带随机盐，哪怕是同一个密码，每次生成的哈希字符串都不一样。所以登录时绝对不能把输入的密码重新哈希后和数据库里的值对比，必须用PHP官方提供的password_verify()函数来验证。

正确的登录验证代码应该是这样的：

// 假设从数据库取出的哈希密码存在$db_hashed_pwd变量中
$input_pwd = $_POST['password']; // 注意这里不要随便转义，后面说原因

if (password_verify($input_pwd, $db_hashed_pwd)) {
    // 登录成功，比如设置Session跳转到首页
    session_start();
    $_SESSION['user'] = $username;
    header("Location: home.php");
    exit();
} else {
    echo "用户名或密码错误";
}

确保你注册时用的是标准的password_hash()函数，而不是自定义的MD5/sha1加盐这种不安全且易出错的方式。正确的注册哈希代码示例：

if (isset($_POST['reg_user'])) {
    $username = $_POST['username'];
    $raw_password = $_POST['password'];
    
    // 生成安全哈希，PASSWORD_DEFAULT会自动添加随机盐
    $hashed_pwd = password_hash($raw_password, PASSWORD_DEFAULT);
    
    // 这里强烈建议用预处理语句插入数据，避免SQL注入，同时不用转义密码
    $stmt = $conn->prepare("INSERT INTO users (username, password) VALUES (?, ?)");
    $stmt->bind_param("ss", $username, $hashed_pwd);
    $stmt->execute();
    $stmt->close();
}

你的代码里用了esc($_POST['password'])，这个函数如果是用来转义SQL注入的话，很可能会修改密码的原始内容（比如把'转成\'）。如果注册时转义了密码，登录时输入的原始密码没做同样转义，就会导致password_verify()对比失败。

正确做法：密码字段不要用esc()处理，改用预处理语句操作数据库——既安全，又不会破坏密码的原始字符。

password_hash()生成的bcrypt哈希长度是60字符，如果你的users表中password字段的长度小于60（比如设成了VARCHAR(32)），数据库会自动截断哈希值，导致验证时完全无法匹配。

赶紧把字段类型改成VARCHAR(255)，留足冗余空间应对未来哈希算法的更新。

有时候表单输入框会不小心带前后空格，或者代码中误加了trim()导致密码被修改。可以在注册和登录时统一对密码做trim()处理，或者检查前端表单是否有多余的空格设置。

内容的提问来源于stack exchange，提问作者Proximus Seraphim Dimitri Davi