Дмитрий

вопросы спрашивают исходя из конкретных потребностей, а не ради галочки. то есть спрашивать о зайке или редиске, когда они не используются, имеет смысла никакого. от слова совсем.
это же относится и к фреймворкам, и прочим словам в вашем вопросе.

меня в джунах интересуют не столько его знания, сколько наличие живых мозгов, интереса к предмету (а не только зп) и способнось это продемонстрировать.
отдельным (и важным) пунктом - адекватность в восприятии критики и последующие выводы.

Я видел в некоторых видео на ютубе

Ответ здесь.
Ролик на ютубе должен произвести впечатление.
Если всё не будет сверкать, то впечатление так себе.
Если впечатление так себе, то мало лайков. :)
В реальной жизни не так, как в ютубе.

Хотя бывает мне приносят системник переустановить винду. Если вижу, что его лет десять не чистили от пыли, то могу и вскрыть БП для чистки, т.к. пыль, слежавшаяся большими комками, через вентиляционные решетки не всасывается. Но настолько запущенные экспонаты попадаются редко.

Для того чтобы правильно писать catch, надо писать осмысленный код.

А здесь мы наблюдаем очаровательный пример карго-культа.
Узнав, что "толстый контроллер - это плохо, а сервисы - это хорошо", автор небрежным движением руки замел весь мусор под ковёр перенёс весь код из контроллера в "сервис". Ну а что? Контроллер худой, весь код в сервисе!
Тот факт, что сама кривая структура проекта осталась, по сути, той же самой, нас не смущает.
Как и то, что сервис вдруг начал выполнять функции НТТР контроллера и кидать почему-то НТТР исключения. Что с этими исключениями делать в случае, если тот же сервис будет вызван из консольной команды - загадка.

Но самое забавное, что при всём при этом контроллер всё равно пытается выполнять работу модели. Казалось бы, какое отношение интерфейс для обслуживания НТТР запросов имеет к транзакциям в базе данных? А вот поди ж ты!

Чтобы сделать этот код осмысленным, контроллеру всё-таки придется потрудиться, и выполнить какую-то работу самому, а не перекладывать на "сервис". А так же отдать модели то что ей принадлежит.

В общем транзакцию перекинуть в createDefault. причём не напрямую, а ещё ниже - в слой для работы с БД. Стартовать транзакцию до валидации данных - это как бы *не совсем логично*, мягко говоря. И в итоге, как по волшебству, весь этот говнокод исчезнет как страшный сон.
При этом в параметрах передавать не НТТР реквест чохом, а осмысленный набор параметров, вынутый предварительно из реквеста!
В частности, если модель сама проверяет права доступа, то и передавать ид пользователя из авторизации.

При этом модель не должна кидать НТТР исключения. Она должна кидать исключения бизнес-логики. Которые контроллер уже может ловить и транслировать в хттп. Но тут видимо уже сложнее, поскольку это ж ларавель судя по всему.

В любом случае, уж catch (Exception $e)-у тут точно не место

Но это если рассматривать твой конкретный случай.
В общем же случае правильный код написал Илья.

То есть внутри трая операции с БД и коммит.
в кетче роллбэк и перевыброс исключения. Только ловить надо Throwable

try {
  DB::beginTransaction();
  // запись в БД
  // запись в БД
  // запись в БД
  DB::commit();
} catch (\Throwable $e) {
  DB::rollBack();
  throw $e;
}

При загрузке файла через формы он автоматически сохраняется на сервере под сгенерированным именем, которое можно получить из $_FILES['file']['tmp_name']. После завершения обработки запроса этот файл удалится автоматически, поэтому его необходимо сохранить в отдельном месте, а для этого нужно указать имя. И тут можно указать любое имя, включая значения полей из массива $_POST.
В частности, можно продублировать надпись в скрытое поле filename и на стороне сервера заменить $_FILES['file']['name'] на $_POST['filename'].

Чтобы сделать такое на PHP (в отличии от JS или JQuery), понадобится задавать название формы динамически в переменной, и подставлять эту переменную вместо имени файла. Если форм и их названий несколько, то вместо переменной нужно использовать массив с названиями, и циклы. Например:

Для начала данный код нужно отрефакторить и сделать его хотя бы читабельным. Почитайте про рефакторинг, про ООП...

Так как по коду нечего сказать скажу методы для ускорения работы уже написанного кода.

1. Первый вариант это перейти на более последнюю версию php. Например, 7.х, 8.х. Особенно почувствуете разницу при переходе с версии 5.6 на 7.х. Однако какой-то код может сломать. Подходите этому внимательнее.

2. Использовать кэширование. Кэшировать можно как внедрением в вашем коде кэширования, так и расширениями php вроде opcache.

Месяц назад от 31 мая какое число было? 30 апреля? Ок. А месяц вперёд от 30 апреля будет 30 мая или 31 мая? А месяц вперёд от 31 мая что будет, 30 июня или 1 июля?
Если надо просто определить предыдущий месяц, то используйте 'first day of previous month'.

Что делать?

Заменить

<button method="POST" name="buttton" class="btn btn-warning" type="submit">Записать в БД</button>

На

<input type="submit" name="buttton" class="btn btn-warning" value="Записать в БД">

Так как у button нет атрибутов method и name, соответственно это условие работать не будет if (isset($_POST['buttton']))

И включите вывод ошибок php и mysqli на экран

<?php
ini_set('error_reporting', E_ALL);
ini_set('display_errors', 1);
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);

// далее остальной код

P/S: для безопасной работы с базой данных используйте подготовленные запросы

$dateTime = new DateTime('2021-05-18T15:30:00.000-04:00');
var_dump($dateTime);
$dateTime->setTimezone(new DateTimeZone('Europe/Moscow'));
var_dump($dateTime);

// object(DateTime)#1 (3) {
//   ["date"] => string(26) "2021-05-18 15:30:00.000000"
//   ["timezone_type"] => int(1)
//   ["timezone"] => string(6) "-04:00"
// }
//object(DateTime)#1 (3) {
//  ["date"] => string(26) "2021-05-18 22:30:00.000000"
//  ["timezone_type"] => int(3)
//  ["timezone"] => string(13) "Europe/Moscow"
//}

$timestamp = strtotime('2021-05-18T15:30:00.000-04:00');
var_dump($timestamp); // int(1621366200)
date_default_timezone_set('Europe/Moscow');
$dateTime = date('c', $timestamp);
var_dump($dateTime); // string(25) "2021-05-18T22:30:00+03:00"

Абсолютно не важно насколько сложный проект, все можно делать по частям, вопрос только сколько времени вы хотите этому посвятить. Чем сложнее проект, тем больше нюансов и кейсов сможете отработать. Тут только личный подход - "хочу быстро что-то рабочее" или "хочу большое и сложное, время есть, практика рулит".

0) Хранить картинки в бд - надо себя очень не любить...
1) Все просто дырявое как дуршлаг, инъекции на инъекциях...
2) Размер поля под картинку наверняка коротковат, и вполне возможно даже не блоб. Отсюда и проблема - картинка тупо не вмещается в поле целиком.

можно, но если только хотите дохрена геморрою, потраченных клеток и херовой безопасности. а, ну да, как же без этого: херовый инет (так как сервер может сжирать бОльшую часть трафика без подобающей настройки), проблемы с провайдером из-за DDOS, проблему с железом (замена, ремонт) ну и конечно же счета за электричество. Да и шум от сервера ни куда не денется. Да и много-много других причин. Так что если вы не готовы поднимать всё оборудование и настраивать "от" и "до", то заплатите каких-то несчастных 100-500 рублей и не будите париться.

Это функция для имитации строки с уязвимостью, чтобы вручную не воспроизводить эту уязвимость в натуральном виде. Мне кажется что эта статья из Psalm хорошо описывает смысл этой уязвимости и способы устранения (а значит и смысл существования функции)
https://psalm.dev/articles/detect-security-vulnera...