本文详解 laravel 密码修改功能中常见的变量未定义、逻辑错误及安全校验问题，重点解决 `undefined variable: $users` 报错、当前密码比对失效、路由与视图数据传递不一致等核心问题，并提供完整、安全、可直接运行的代码示例。

在 Laravel 应用中实现「修改密码」功能时，一个常见且关键的环节是：要求用户输入当前密码以完成身份验证。但如你所见，代码中出现 Undefined variable: $users 错误，根本原因在于：视图中遍历了 $users 变量，但控制器在 showChangePasswordGet() 方法中并未向视图传递该变量；同时，changePasswordPost() 方法中存在严重逻辑缺陷（如 return 语句位置错误导致后续校验被跳过），以及错误使用 Auth::id()（返回整数 ID，而非用户模型实例）。

下面是一套经过修正、生产就绪的完整实现方案：

✅ 正确的控制器逻辑（PerfilController.php）

use Illuminate\Http\Request;
use Illuminate\Support\Facades\Hash;
use Illuminate\Support\Facades\Auth;
use App\Models\User; // 确保使用正确的命名空间

public function showChangePasswordGet()
{
    // ✅ 必须传递 $users（或更推荐：仅传递当前用户）
    // 方案一（按原逻辑）：传入全部用户（仅用于匹配当前用户）
    $users = User::all();
    return view('perfil', compact('users'));

    // ✅ 更优方案（推荐）：只传当前用户，提升性能与安全性
    // $user = Auth::user();
    // return view('perfil', compact('user'));
}

public function changePasswordPost(Request $request)
{
    // ? 1. 验证当前密码（必须使用 Auth::user() 获取模型实例）
    $user = Auth::user();
    if (!Hash::check($request->input('current-password'), $user->password)) {
        return back()->withErrors(['current-password' => '当前密码不正确。']);
    }

    // ? 2. 防止新旧密码相同
    if ($request->input('current-password') === $request->input('new-password')) {
        return back()->withErrors(['new-password' => '新密码不能与当前密码相同。']);
    }

    // ✅ 3. 使用 Laravel 内置验证规则（注意字段名一致性）
    $validated = $request->validate([
        'current-password' => 'required|string',
        'new-password'     => 'required|string|min:8|confirmed',
    ]);

    // ✅ 4. 更新密码（使用 bcrypt 加密）
    $user->password = bcrypt($validated['new-password']);
    $user->save();

    return back()->with('success', '密码已成功更新！');
}

✅ 视图优化建议（perfil.blade.php）

• ❌ 原始写法中多次 @foreach($users as $user) + @if($user->id == Auth::id()) 效率低且冗余；
• ✅ 推荐改为直接使用 Auth::user()（无需查询所有用户）：

@auth
    
Bem-Vindo, {{ Auth::user()->name }}!

    
        PRIMEIRO NOME:

        
    

    
@endauth

? 提示：若坚持使用 $users，请确保 每个 GET/POST 方法都显式传入该变量，否则视图渲染必报错。

⚠️ 关键注意事项总结

• Auth::id() 返回的是整数 ID，不可直接调用 ->password → 必须用 Auth::user() 获取完整用户模型；
• Hash::check() 的第一个参数是明文密码，第二个是哈希值 → 不要写成 Hash::check(明文, ID->password)；
• return 语句位置致命：原代码中 return view(...) 后面的逻辑永远不会执行，导致验证完全失效；
• CSRF 保护已启用（@csrf）✅，但需确保表单 action 路由与控制器方法严格匹配；
• 密码确认字段名应为 new-password_confirmation（Laravel 默认规则），对应验证规则中的 confirmed；
• 生产环境务必启用 HTTPS，避免明文密码在传输中泄露。

通过以上修正，你的密码修改功能将具备基础安全性、逻辑健壮性与良好的用户体验。建议后续进一步集成密码强度策略（如禁止常见弱密码）、登录态自动刷新、以及操作日志审计等功能。