在PHP中更改密码通常涉及到以下几个步骤：

1、验证用户身份：需要确保请求更改密码的用户是合法且已经登录的，可以通过检查用户的会话信息或令牌来实现。

2、获取旧密码和新密码：从用户提交的表单中获取旧密码和新密码，可以使用$_POST变量来获取这些值。

3、验证旧密码：将用户提供的旧密码与数据库中存储的密码进行比较，如果匹配，则允许用户继续更改密码；否则，返回错误消息。

4、更新密码：如果旧密码验证成功，将新密码加密后存储到数据库中，可以使用PHP的内置函数password_hash()来加密密码。

5、返回结果：根据操作的成功与否，返回相应的消息给用户。

以下是一个简单的示例代码：

<?php
// 假设已经验证了用户身份
$old_password = $_POST['old_password'];
$new_password = $_POST['new_password'];
// 从数据库中获取用户密码（此处仅为示例，实际应用中需要使用数据库查询）
$stored_password = '$2y$10$abcdefghijklmnopqrstuvwx'; // 假设这是存储在数据库中的加密密码
// 验证旧密码是否正确
if (password_verify($old_password, $stored_password)) {
    // 旧密码正确，更新密码
    $hashed_new_password = password_hash($new_password, PASSWORD_DEFAULT);
    // 将新密码存储到数据库中（此处仅为示例，实际应用中需要使用数据库更新操作）
    $stored_password = $hashed_new_password;
    echo '密码更改成功！';
} else {
    // 旧密码错误
    echo '旧密码不正确，请重试。';
}
?>

相关问题与解答：

Q1: 如何在PHP中实现用户登录和身份验证？

A1: 在PHP中实现用户登录和身份验证通常需要使用会话管理和令牌机制，可以在用户成功登录后创建一个新的会话，并在后续请求中检查会话信息以验证用户身份，还可以使用令牌机制，例如JSON Web Tokens（JWT），来在客户端和服务器之间传递身份验证信息。

Q2: 如何防止SQL注入攻击？

A2: 为了防止SQL注入攻击，可以采取以下措施：

使用预处理语句（Prepared Statements）：预处理语句可以将参数与SQL查询分开处理，从而避免直接将用户输入嵌入到查询中。

对用户输入进行验证和过滤：对用户输入的数据进行验证和过滤，确保其符合预期的格式和范围。

使用参数化查询：使用参数化查询可以避免将用户输入直接拼接到SQL查询中，从而减少SQL注入的风险。