Boris Köln

Есть пользователи, которые не гнушаться удалять эти куки почем зря

ССЗБ.
Нет кук - пусть авторизуются на вашем сервере заново.

Однозначно RBAC.
А уже вариантов есть много. Например,
Права 1го уровня: "смотреть", "создавать", "редактировать", "кастомизировать дешевый" (в bizRule проверять признак "самый дешевый"), "кастомизировать недешевый", "удалять".
Права 2го уровня: "неавторизованный посетитель", "авторизованный покупатель", "менеджер", "админ".
Признак "самый дешевый" хранить в БД у товара. При изменении любой цены пересчитывать все эти признаки.
В контроллере: вызвать hasAccess с параметром ID товара.

У злоумышленника есть доступ на сервер:

- логин/пароль ftp. Сменить пароль. Использовать sftp. Лучше вообще не использовать пароль, а логиниться по ключу

- уязвимость windows. Накатить все патчи. Лучше перейти на CentOs

- инъекция на сайте. Из-за криворукого программиста такое часто бывает. На Тостере каждый второй пример кода
- говнокод с дырами. Нанять грамотного разработчика и провести аудит (для начала автоматический, а потом и ручной).

- логин-пароль от админки сайта. Сменить пароль. Использовать https. Обновить все сторонние модули (например, phpBb)

Пароль по умолчанию пустой.
Возможно, вы неправильно набрали команду. Скопируйте именно эту: mysql -u root -p. На запрос пароля надо просто нажать Enter.

Попробуйте запустить mysql_secure_installation.

Если все равно не пускает - поищите пароль в логе: sudo grep 'temporary password' /var/log/mysqld.log.

Если и этот вариант не подошел - возможно, устанавливаете из какого-то левого репозитория. Удалите sudo apt-get purge mysql*, выключите левые репозитории и установите заново sudo apt-get install mysql-server.

Из контроллера - $this->view->title.
Из вьюшки - $this->title

Под это условие не попадают буквы, цифры, подчеркивание, пробельные символы.

Вместо дублирования кириллицы в разных регистрах лучше добавить модификатор "i" (регистронезависимо)

Надо правильно проектировать приложение.

Во-первых, не держать открытой сессию (именно из-за лока на файл сессии второй процесс ждет окончания первого). В крайнем случае прочитать данные из сессии и сразу же закрыть.

Во-вторых, длительные скрипты не должны запускаться из веба. Их надо откладывать в очередь и обрабатывать кроном или демоном.

Капитан Очевидность подсказывает, что нужно уметь быстро устанавливать и настраивать всё необходимое. Вот что вам надо - то и устанавливайте. В Linux устанавливать программы удобно через sudo apt install .... Разворачивать проект - из своего репозитория. Сразу же разворачивание БД и автоматическая настройка конфига (например, cp, запросить логин/пароль, sed). В итоге получится один sh-скрипт.

ноутбук HP Compaq не видит флешку с виндой при загрузке ОС

Не при загрузке ОС, а до загрузки ОС после BIOS.

1. в BIOS не включена опция загрузки с флэшки. Или включена, но не первой.

2. Флэшка не загрузочная. Если флэшка с Windows, то лучше создавать ее тоже средствами Windows. В другой ОС теоретически возможно, но нужно шаманить.

Если все сайты на одном физическом сервере, и надо везде регистрировать юзера, то правильнее создать общую БД юзеров на этом же сервере. При этом у каждого сайта может быть своя БД с его контентом.

1. root права не нужны. Но для надежности лучше все-таки запретить exec/system

2. количество php-процессов ни о чем не говорит. При любом их количестве как могут быть проблемы, так могут и не быть.
Вместо процессов проверять надо, что на http-запросы приходит нужный ответ за нужное время.

3. Количество памяти, процессов и прочего проверять лучше с помощью Nagios. Даже количество процессов - для этого добавьте свой sh-скрипт в /etc/nagios/nrpe.cfg

try_files нужен, чтобы отдавать статику (css, js, jpg/png и пр.)

func.php и прочие инклюды не должны быть доступны из web! Переместите их на уровень выше.

Нормально.
Нагрузка как клиенту, так и серверу не больше, чем загрузить какую-нибудь статик-картинку.

Ну, можно поотключать индексирование, подсказки, валидацию и прочее. Будет работать не 1 час, а 1 час и 5 минут. Вот только напишите меньше кода, да и на вылавливание ошибок потратите в 2 раза больше времени. Вам шашечки или ехать?

Можно немного настроить ОС: выключить всякую анимацию, WiFi, Bluetooth.

Более кардинальные советы: сменить ноут на более энергоэффективный или хотя бы аккумулятор на свежий.

Настроить веб-сервер для этой папки на скачивание без запуска PHP. Например, в Nginx для этого надо прописать отдельный location.

мне надо вывести все уникальные группы из этой таблицы

MyModel::find()->select(...)->where(...)->groupBy(...)

и в detail view показать все рецепты которые к ней относятся

MyModel::find()->where(...)

Перед solution добавьте типа
echo implode(' ', $order->getFirstErrors());

P.S. "categories", а не "categorys"

Правильнее, когда любой метод-обертка никогда не бросает исключения, а всегда возвращает либо запрошенные данные из API, либо false в случае ошибки. Ну и в качестве бонуса отдельный метод типа getErrors() с кодом и текстом ошибки.
А вот внутри API-класса на разных уровнях можно кидать исключения типа "неправильный конфиг", "проблемы с сетью" и пр. Это нужно для быстрого выхода из любого уровня наверх, чтобы в десятки разных мест не писать повторяющиеся проверки. Но эти исключения обязательно ловить на верхнем уровне обертки и возвращать false.

Статья: https://journal.tinkoff.ru/thedeal/
Тест: https://journal.tinkoff.ru/salarytest/