AUser0

При обновлении счётчика добавить условие, что значение счётчика равно значению при начале выполнения кода.

UPDATE `table` SET counter=3 WHERE id='XXX' AND counter='4';

Вместо

if (!isset($_POST['login']) || empty($_POST['login'])) {
        exit;
}

вставьте
if (!empty($_POST['login'])) {
а вместо
?>
вставьте

}
?>

Смотрите на IP-адрес. Ещё прочитайте про HTTP ETag, вдруг он поддерживается приложением.

$route = '#^#'.$route.'$#';
заменить строкой
$route = '@^#'.$route.'$@';

foreach ($query as $result)
меняйте на

while ($result = $query->fetch_array(MYSQLI_ASSOC))

ob_start();

echo("text 1");
echo("text 2");
header("Header: Text");

ob_end_flush();

$result3 = mysqli_query($db, "SELECT * FROM s_settings");
$aray = mysqli_fetch_assoc($result3)['value'];

Ну хотя-бы PHP код вы можете корректно писать?

$query4 = new msQuery("INSERT INTO ".$this->db2.".dbo.user_data_ex(uid) Select uid from db1.dbo.user_account where uid='".$uid."'");

А как добавить колонки - не подскажу, не знаю MsSQL.

<?php
$content = "<\?php 
include('../config.php');
\$var = 1;
\$var = 'asd';
\$arr[] = ['123','asd'];
\?>";
file_put_content("file_name.php", $content) or die("ERROR: Can't write to file!");
?>

Если я правильно расшифровал вопрос, то:

$qr_result = mysql_query('SELECT * FROM users, invoices WHERE email="'.$_SESSION['email'].'"')

заменить на:

$qr_result = mysql_query('SELECT * FROM invoices WHERE email="'.mysql_real_escape_string($_SESSION['email']).'"')

Впрочем, если в других файлах все запросы делаются так-же (без использования mysql_real_escape_string()), то вас всё равно взломают, на раз-два-три. Хотя нет, вру, -два-три не понадобится.
Этот вид взлома называется SQL-injection, советую почитать.

Способов - множество, один из них:

$tpl->result['content'] = preg_replace_callback( "#\\[(Not|Yes)KatalogAllow:(.+?)\\](.+?)\\[/(Not|Yes)KatalogAllow\\]#is", function ($m){return $Katalog->ReplaceTagBlock($m[2], $m[3], $m[1]);}, $tpl->result['content'] );

$tpl->result['content'] = preg_replace_callback( "#\\[(Not|Yes)KatalogAllowCat:(.+?)\\](.+?)\\[/(Not|Yes)KatalogAllowCat\\]#is", function ($m){return $Katalog->ReplaceTagBlockCat($m[2], $m[3], $m[1]);}, $tpl->result['content'] );

DELETE FROM 'table_name' WHERE ID IN(500 айдишников);
DELETE FROM 'table_name' WHERE ID IN(следующие 500 айдишников);
DELETE FROM 'table_name' WHERE ID IN(и ещё 500 айдишников);
...Да! да! так! ещё! ещё! продолжай, не останавливайся!!....
Ооо, йес, все 50 000!!!