嘿，我一眼就发现你的登录逻辑里的核心问题啦！咱们先理清楚为啥会出现“输入信息不正确”的提示：

问题根源 #

你现在的登录代码里，就算放开注释的哈希行也会出错——因为password_hash()每次生成的哈希值都是不一样的（它会自动生成随机盐）。所以你不能把用户输入的密码再次哈希后去和数据库里存储的哈希值直接比对，必须用PHP专门提供的password_verify()函数来做验证。

修复步骤 #

1. 先确认注册环节的正确性
   首先要保证你注册用户时，确实是用password_hash()把密码哈希后存入数据库的，比如注册代码大概是这样的：

   $userPassword = $_POST['password'];
   $hashedPassword = password_hash($userPassword, PASSWORD_DEFAULT);
   // 然后把$hashedPassword插入到customer表的密码字段中
   

2. 修改登录逻辑的核心代码
   把你当前的登录代码里的哈希操作去掉，换成password_verify()来做验证，修正后的代码如下：

   <?php 
   session_start(); 
   if (isset($_POST["login"])) { 
       $formUser = $_POST["email"]; 
       $formPass = $_POST["password"]; 
   
       include("dbConnect.php"); 
       // 只查询对应用户的记录，更高效也更安全
       $dbQuery = $db->prepare("select password from customer where email = ?");
       $dbQuery->execute([$formUser]);
       $user = $dbQuery->fetch(PDO::FETCH_ASSOC);
   
       // 先检查用户是否存在，再验证密码
       if ($user && password_verify($formPass, $user['password'])) {
           // 验证成功，处理登录逻辑（比如设置session）
           $_SESSION['user_email'] = $formUser;
           echo "登录成功！";
           // 跳转到首页之类的
           // header("Location: index.php");
           // exit;
       } else {
           // 用户不存在或密码错误
           echo "输入信息不正确";
       }
   }
   ?>
   

关键细节解释 #

• password_verify($plainPassword, $hashedPassword)：这个函数会自动识别哈希值里的盐，把用户输入的明文密码和数据库里的哈希值做正确比对，返回布尔值。
• 尽量不要用select *查询，只获取需要的字段（比如这里只查password），既提升性能也减少安全风险。
• 先检查用户是否存在再验证密码，能避免泄露用户是否注册的敏感信息（你现在统一的错误提示这点做得很稳妥）。

内容的提问来源于stack exchange，提问作者Jessica Byers