本文详解因未正确提取pdo查询返回的数组值而导致`insert`语句失效的问题，重点修复`$user_id`赋值错误，并提供更安全、更简洁的单语句插入方案。

在你提供的 actlogin.php 代码中，问题根源非常明确：DB::query() 方法对 SELECT 查询始终返回一个二维数组（即使只有一行一列），而你直接对整个结果调用了 [0]['id']，却未确保该数组非空且结构合法。尤其当 SELECT id FROM users WHERE username=:username 未匹配到任何用户时，DB::query(...)[0] 会触发 PHP “Undefined offset” 警告，进而导致后续 INSERT 执行失败（PDO 默认静默忽略错误，但 execute() 实际未成功）。

更关键的是，你当前的写法存在两次独立查询 + 一次插入的冗余操作：

$user_id = DB::query('SELECT id FROM users WHERE username=:username', [...])[0]['id'];
DB::query('INSERT INTO login_tokens (token, user_id) VALUES (:token, :user_id)', [...]);

这不仅效率低，还引入了竞态风险（如用户在两次查询间被删除），且极易因错误索引数组而崩溃。

✅ 推荐解决方案：使用 INSERT ... SELECT 单语句原子插入

将用户 ID 的获取与令牌插入合并为一条 SQL 语句，既避免 PHP 层数据提取错误，又保证事务一致性：

$token = bin2hex(openssl_random_pseudo_bytes(64, $cstrong));
DB::query(
    'INSERT INTO login_tokens (token, user_id) 
     SELECT :token, id 
     FROM users 
     WHERE username = :username',
    [':token' => $token, ':username' => $username]
);

? 注意：原答案中 ':usename'=>$username 是笔误，应为 ':username'=>$username —— 务必核对占位符名称拼写，否则 PDO 绑定失败且无提示。

? 额外健壮性增强建议：

1. 检查插入是否成功（因 token 设为 UNIQUE，重复插入会失败）：

   try {
       DB::query('INSERT INTO login_tokens (token, user_id) SELECT :token, id FROM users WHERE username = :username', [
           ':token' => $token,
           ':username' => $username
       ]);
       echo "Login token generated successfully.";
   } catch (PDOException $e) {
       if ($e->getCode() == 23000) { // MySQL duplicate entry error code
           echo "Token already exists for this user.";
       } else {
           error_log("DB Insert Error: " . $e->getMessage());
           echo "System error. Please try again.";
       }
   }

2. 优化 DB::query() 方法：当前 explode(' ', $query)[0] == 'SELECT' 判断过于脆弱（如 SELECT * FROM... 或带注释的 SQL 会失效）。建议改用正则或更可靠的 SQL 类型识别，或干脆为不同操作提供专用方法（如 select(), insert(), update()）。

3. 密码验证后立即获取 user_id：避免再次查库，可将首次 SELECT username 查询扩展为 SELECT id, password，复用结果：

   $user = DB::query('SELECT id, password FROM users WHERE username = :username', [':username' => $username]);
   if (!empty($user)) {
       if (password_verify($password, $user[0]['password'])) {
           $user_id = $user[0]['id']; // ✅ 安全提取
           // 后续 INSERT...
       }
   }

综上，核心修复点是：绝不假设查询结果数组可直接索引，优先采用 INSERT ... SELECT 消除中间变量依赖，辅以异常捕获与输入校验，方能构建健壮的身份认证流程。