mysqli_query 返回 false 时密码比对根本未执行,因查询失败导致 $row 为 NULL,password_verify 无法运行;须检查连接、sql 字段名、预处理防注入,并确保密码用 password_hash 存储且 verify 参数顺序正确。
PHP 中 mysqli_query 返回 false 时,密码比对就失效了
多数人卡在“用户名能查到,密码死活不匹配”,其实根本没走到比对那步——mysqli_query 执行失败直接返回 false,后续用 mysqli_fetch_assoc 取不到任何数据,$row 是 null,password_verify 根本没机会运行。
常见错误现象:Warning: mysqli_fetch_assoc() expects parameter 1 to be mysqli_result, bool given
- 先检查
mysqli_connect是否成功,加or die(mysqli_error($conn))快速暴露连接失败 - 查询语句别拼错字段名,比如写成
user_name而数据库是username,mysqli_query会静默失败 - 用
var_dump($result)看一眼查询结果是不是false,别急着往下取值
密码必须用 password_hash 存,不能存明文或 md5
如果数据库里密码是 md5('123456') 或直接写的 123456,password_verify 永远返回 false——它只认 password_hash 生成的 bcrypt 格式字符串(以 $2y$ 或 $2b$ 开头)。
- 注册时必须用
$hash = password_hash($_POST['password'], PASSWORD_DEFAULT)存进数据库 -
PASSWORD_DEFAULT未来可能升级算法,但兼容旧验证;别用PASSWORD_BCRYPT硬编码,除非你明确要锁定版本 - 字段长度至少设为
VARCHAR(255),bcrypt 哈希最长可能到 60 字符,留余量防升级
登录时 password_verify 的两个参数顺序不能反
这个函数严格要求:第一个参数是用户提交的**明文密码**,第二个参数是数据库里取出的**哈希值**。反过来就会恒定返回 false,且无任何提示。
立即学习“前端免费学习笔记(深入)”;
典型错误写法:password_verify($hashed_password_from_db, $_POST['password'])
- 记口诀:“verify(输入的, 存库的)”——输入在前,存库在后
- 数据库查出来的哈希值变量名建议带
_hash后缀,比如$stored_hash,降低混淆概率 - 如果查不到用户,
$row是null,直接跳过password_verify,否则会报Warning: password_verify() expects parameter 2 to be String, null given
SQL 查询必须用预处理防止注入,别拼接 $_POST['username']
直接把 $_POST['username'] 拼进 SQL,比如 "select * FROM users WHERE username = '".$_POST['username']."'",攻击者输个 admin' -- 就绕过密码检查。
- 必须用
mysqli_prepare+mysqli_stmt_bind_param,或者 pdo 的prepare/execute - 查询只取必要字段,比如
SELECT id, username, password_hash FROM users WHERE username = ?,别用* - WHERE 条件用
=而不是LIKE,避免意外匹配前缀(如用户输adm匹配到admin)
实际校验逻辑长这样:
$stmt = $conn->prepare("SELECT id, username, password_hash FROM users WHERE username = ?"); $stmt->bind_param("s", $_POST['username']); $stmt->execute(); $result = $stmt->get_result(); if ($result->num_rows === 0) { die("用户不存在"); } $row = $result->fetch_assoc(); if (password_verify($_POST['password'], $row['password_hash'])) { // 登录成功 } else { // 密码错误 }真正容易被忽略的是:数据库连接字符集没设成 utf8mb4,用户昵称含 emoji 时,username 查询可能因编码不一致返回空结果——看着像密码错,其实是查无此人。