本文详解pdo登录功能中`rowcount()`始终返回0的常见原因，重点指出明文哈希比对的安全缺陷，并提供使用`password_hash()`与`password_verify()`的完整、安全、可落地的登录实现方案。

在使用PDO开发用户登录系统时，许多开发者会遇到 rowCount() 恒为 0 的问题——即使数据库中存在匹配的邮箱和密码，登录逻辑仍判定失败。根本原因往往并非SQL语法或连接错误，而是密码存储与验证方式存在严重设计缺陷。

您当前代码中的核心问题有三点：

1. 使用弱哈希函数 hash('sha256', $password)：SHA-256 是不可加盐的快速哈希，极易被彩虹表或暴力破解攻破，且未使用PHP原生推荐的密码哈希方案；
2. 直接比对哈希值（WHERE password = :password）：这要求前端传入的密码必须与数据库中完全一致的哈希字符串匹配，而实际注册时若用了不同算法（如password_hash()）、不同选项（如cost=12），必然导致比对失败；
3. rowCount() 在无结果时返回 0，但 fetch() 已可直接判断是否存在用户：过度依赖 rowCount() 不仅冗余，还掩盖了更关键的验证逻辑问题。

✅ 正确做法是：先通过唯一字段（如 email）查询用户记录，再用 password_verify() 安全比对密码。该方法不依赖SQL层面的密码匹配，完全在PHP层完成验证，兼容任意password_hash()生成的哈希格式（含盐、自适应成本等）。

以下是重构后的安全登录方法示例：

public function userLogin($email, $password)
{
    try {
        $dbConnection = $this->DBConnect();
        // 仅凭 email 查询用户（假设 email 唯一索引）
        $stmt = $dbConnection->prepare('SELECT `UID`, `username`, `firstname`, `lastname`, `ip_address`, `password` FROM `users` WHERE `email` = :email LIMIT 1');
        $stmt->bindParam(':email', $email, PDO::PARAM_STR);
        $stmt->execute();

        if ($data = $stmt->fetch(PDO::FETCH_OBJ)) {
            // ✅ 使用 password_verify() 验证密码（自动处理盐值与算法）
            if (password_verify($password, $data->password) === true) {
                session_start();
                $_SESSION['uid'] = $data->UID;
                $_SESSION['username'] = $data->username;
                $_SESSION['firstname'] = $data->firstname;
                $_SESSION['lastname'] = $data->lastname;
                $_SESSION['ip_address'] = $data->ip_address;
                header('Location: /panel/index?success');
                return true;
            }
        }

        // 用户不存在 或 密码错误
        header('Location: /panel/login?error');
        return false;

    } catch (PDOException $e) {
        error_log('Login failed: ' . $e->getMessage());
        header('Location: /panel/login?error');
        return false;
    } finally {
        $dbConnection = null; // 确保资源释放（也可交由PHP GC 自动处理）
    }
}

? 关键注意事项：

• ✅ 注册时务必使用 password_hash($password, PASSWORD_ARGON2ID)（推荐）或 PASSWORD_DEFAULT，绝不可用 md5/sha1/hash() 等函数；
• ✅ 数据库中 password 字段长度至少设为 255 VARCHAR（password_hash() 输出长度可变，Argon2最长约255字符）；
• ✅ 登录成功后建议更新用户最后登录时间及IP，增强审计能力；
• ✅ 生产环境应启用 HTTPS，防止密码明文传输；
• ✅ 建议配合登录失败次数限制 + 图形验证码，防范暴力破解。

通过以上改进，您将彻底解决 rowCount() 返回 0 的假象问题，同时大幅提升系统安全性与可维护性。记住：密码永远不应被“比较”，而应被“验证”。