在PHP中，我们通常使用会话（session）或cookies来处理用户登录，以下是一个基本的用户登录过程：

1、用户输入用户名和密码并提交表单。

2、PHP脚本获取这些信息，并将其与数据库中存储的信息进行比较。

3、如果用户名和密码匹配，则创建一个会话或将用户ID存储在cookie中。

4、用户被重定向到受保护的页面，该页面检查用户是否已登录（即检查会话或cookie）。

以下是这个过程的代码示例：

<?php
// 开始会话
session_start();
// 连接到数据库
$db = new PDO('mysql:host=localhost;dbname=testdb;charset=utf8', 'username', 'password');
// 获取用户输入的用户名和密码
$username = $_POST['username'];
$password = $_POST['password'];
// 查询数据库以获取匹配的用户
$stmt = $db>prepare('SELECT * FROM users WHERE username = ? AND password = ?');
$stmt>execute(array($username, $password));
// 如果找到匹配的用户
if ($stmt>rowCount() == 1) {
    // 将用户ID存储在会话中
    $user = $stmt>fetch();
    $_SESSION['userId'] = $user['id'];
    // 重定向到受保护的页面
    header('Location: protectedpage.php');
} else {
    // 显示错误消息
    echo 'Invalid username or password.';
}
?>

在受保护的页面上，你需要检查用户是否已登录：

<?php
// 开始会话
session_start();
// 检查用户是否已登录
if (!isset($_SESSION['userId'])) {
    // 用户未登录，重定向到登录页面
    header('Location: login.php');
    exit;
}
// 显示受保护的内容
echo 'Welcome, you are logged in!';
?>

相关问题与解答：

Q1: 如何在PHP中安全地存储用户密码？

A1: 你应该永远不要明文存储用户密码，相反，你应该使用一种称为“哈希”的过程，它接受一个输入并返回一个固定长度的字符串，当你需要验证密码时，你可以将用户输入的密码进行哈希，然后将其与存储在数据库中的哈希进行比较，如果两者匹配，那么密码就是正确的。

Q2: 如何防止跨站请求伪造（CSRF）攻击？

A2: CSRF攻击是通过诱导用户点击链接或执行操作来利用用户的登录状态，为了防止这种攻击，你可以在每个表单中包含一个隐藏的、随机生成的令牌，当表单被提交时，你可以检查令牌是否与你在会话中存储的令牌匹配，如果两者不匹配，那么请求可能是伪造的。