php表单提交后若验证失败显示错误信息，页面刷新时该错误仍残留，根本原因是错误输出未与请求状态解耦；需通过条件控制仅在post提交且验证失败时显示错误，而非依赖变量持久化。

在您提供的代码中，问题核心并非 $valid 的比较方式（如 === false 或 != 1），而是逻辑执行时机缺失关键的请求方法判断。当前代码无论页面是首次加载、F5刷新还是表单提交，只要 $valid 被设为 false（例如因上一次提交失败而遗留），就会再次输出错误提示——这本质上是将瞬态业务状态（登录校验结果）错误地当作页面生命周期内的全局状态来使用。

正确的做法是：仅在用户主动提交表单（即 $_SERVER['REQUEST_METHOD'] === 'POST'）且验证失败时，才输出错误信息。刷新页面（GET 请求）应清空所有提交上下文，不触发验证逻辑，自然不会显示旧错误。

✅ 推荐修复方案（含安全加固）：

prepare("SELECT name FROM users WHERE username = ? AND password = ?");
    $stmt->bind_param('ss', $username, $password);
    $stmt->execute();
    $result = $stmt->get_result();

    if ($result->num_rows === 0) {
        $errorMessage = 'Wrong username and password';
    } else {
        // 登录成功：重定向避免重复提交（PRG模式）
        session_start();
        $_SESSION['user'] = $result->fetch_assoc()['name'];
        header('Location: dashboard.php');
        exit;
    }
}
?>


    
    
    Login




    

? 关键要点总结：

• ❌ 避免直接拼接用户输入到SQL（已弃用且极度危险）；必须使用 prepare() + bind_param()；
• ✅ 将验证逻辑严格限定在 POST 请求内，GET 刷新即重置界面；
• ✅ 登录成功后使用 header('Location: ...') 重定向，遵循 PRG（Post-Redirect-Get）模式，彻底杜绝刷新

  

  重复提交；
• ✅ 错误消息通过局部变量 $errorMessage 控制输出，作用域清晰，无跨请求污染；
• ✅ 输出前用 htmlspecialchars() 防止XSS，提升前端安全性。

遵循以上结构，错误提示将严格绑定于单次表单提交行为，刷新页面即恢复干净初始状态——这才是Web应用中状态管理的正确实践。