本文教你用原生 php 与 mongodb 官方驱动安全、简洁地实现邮箱存在性检查与密码验证，解决初学者常见的空页、数组访问错误及游标误用问题，并提供可直接运行的修正代码与关键注意事项。

在使用 PHP 连接 MongoDB 进行用户登录验证时，初学者常误将 find()（返回游标对象）当作单文档结果处理，或错误访问对象属性（如 $d['email']），导致页面空白、逻辑失效甚至报错。以下是正确、健壮且适合入门者的实现方式。

✅ 正确做法：使用 findOne() 获取单个匹配文档

findOne() 直接返回匹配的第一个文档（MongoDB\Model\BSONDocument 对象），比遍历游标更高效、语义更清晰，尤其适用于“查邮箱+密码”这类唯一性校验场景：

EcommerceWeb;
$collection = $db->Employees_Data;

$email = filter_input(INPUT_POST, 'email', FILTER_SANITIZE_EMAIL); // 推荐用 FILTER_SANITIZE_EMAIL 更精准
$password = filter_input(INPUT_POST, 'password', FILTER_UNSAFE_RAW); // 密码不建议过滤，应哈希后比对（见下文）

// 1. 先查询是否存在该邮箱（推荐分步验证，提升安全性与调试性）
$emailQuery = ['email' => $email];
$userDoc = $collection->findOne($emailQuery);

if (!$userDoc) {
    echo "错误：邮箱不存在";
    exit;
}

// 2. 验证密码（⚠️ 关键：实际项目中密码必须哈希存储！）
// 假设数据库中 password 字段存的是 bcrypt 哈希值（强烈推荐）
if (password_verify($password, $userDoc->password)) {
    echo "登录成功";
    // 启动 session、跳转后台等后续操作...
} else {
    echo "错误：密码不正确";
}

⚠️ 必须注意的关键点

• 不要明文存储密码：示例中 $userDoc->password 应为 password_hash($raw_password, PASSWORD_BCRYPT) 生成的哈希值。永远不要在数据库中存明文密码。
• 字段名一致性：你原代码中写的是 $d['passwprd']（拼写错误），而答案中是 password —— 请严格核对集合中实际字段名（可通过 Robo 3T 或 mongosh 查看文档结构）。
• $collection 变量用法错误：原代码 $db->$collection->find(...) 是错误的，应为 $collection->find(...)。$collection 已是 MongoDB\Collection 实例，无需再通过 $db 动态访问。
• 避免空页问题：添加 exit 或明确错误输出；启用 PHP 错误报告（开发环境）：

  error_reporting(E_ALL);
  ini_set('display_errors', 1);

• 安全增强建议：
  • 使用 FILTER_SANITIZE_EMAIL 替代 FILTER_SANITIZE_STRING 处理邮箱；
  • 登录失败时统一提示“邮箱或密码错误”，防止枚举攻击；
  • 添加速率限制（如 $_SESSION['login_attempts']）防范暴力破解。

✅ 总结

对初学者而言，验证用户凭证的核心逻辑是：先查邮箱是否存在 → 再比对密码哈希。使用 findOne() 替代 find() + foreach，用对象属性访问（$doc->email）替代数组下标（$d['email']），并确保密码始终以哈希形式存储与校验——这三步即可解决你遇到的空白页与逻辑错误问题，同时迈出安全开发的第一步。