FanatPHP

Любая ошибка синтаксиса, вызванная передаваемыми в запрос данными говорит о том, что запрос в принципе пишется неверно. А по-старинке, путем запихивания всех переменных прямо в строку запроса.

Так давно уже никто не делает (под "никто" я имею в виду программистов, а не самоучек, которые сами от горшка два вершка, а уже учат других как писать программы, и которых, к сожалению, развелось немыслимое количество, что на тостере, что - самое печальное - на ютубе, так что встретить нормальный код на просторах интернета - это реальная проблема).

чтобы избежать любых проблем с данными, и сделать код читабельнее и короче, данныев базу данных следует отправлять отдельно от запроса.

$sql = "INSERT INTO t (text, author_id) VALUES(?,?)"; // заменим переменные на специальные маркеры
$stmt = $mysqli->prepare($sql); // подготовим запрос к выполнению.
$stmt->bind_param("ss", $text, $author); // привяжем к нему переменные
$stmt->execute(); // и выполним его

три простых шага, а код становится гораздо чище, безопаснее и короче.
причем это в mysqli три, а в PDO вообще два:

$sql = "INSERT INTO t (text, author_id) VALUES(?,?)"; // заменим переменные на специальные маркеры
$stmt = $pdo->prepare($sql); // подготовим запрос к выполнению.
$stmt->execute([$text, $author]); // сразу и привяжем и выполним

массивом
$sql->bind_param($char, ...[$adin, $dwa, $tree]);

Хороший вопрос, который, к сожалению, редко задают

про проблему тебе все уже рассказали, все изменения в БД должны быть только методом POST.

Но поскольку вопрос изначально про класс, качестве шефской помощи перепишем его на более осмысленный, учитывая что

- доступ к инстансу ПДО должен быть не только изнутри
- а вот конфиг держать в переменной класса нужно как рыбке зонтик
- кодировку при соеднинеии с базой надо задавать, чтобы потом не плодить на тостере очередной пост, "у меня в базе вопросики записались"
- причем сразу правильную
- самое главное - вежливо попросить РНР сообщать обо всех ошибках в запросах
- ну и заодно установить разные удобные опции
- пути всегда должны быть абсолютными
- сначала надо написать универсальный метод для выполнения запросов, а потом уже использовать его во всех остальных методах
- ненужный код не нужен

class DatabaseMysql
{
    public $pdo;

    public function __construct()
    {
        $options = [
            \PDO::ATTR_ERRMODE            => \PDO::ERRMODE_EXCEPTION,
            \PDO::ATTR_DEFAULT_FETCH_MODE => \PDO::FETCH_ASSOC,
            \PDO::ATTR_EMULATE_PREPARES   => false,
        ];
        $dbc = require(__DIR__.'/core/config/DbConfig.php');
        $this->pdo = new \PDO(
            "mysql:host={$dbc['db_host']};dbname={$dbc['db_name']};charset=utf8mb4",
            $dbc['db_user'],
            $dbc['db_pass'],
            $options,
        );
    }
    public function query(string $query, array $params = [])
    {
        $sth = $this->pdo->prepare($query);
        $sth->execute($params);
        return $sth;
    }

    public function insert(string $query, array $params)
    {
        $this->query($query, $params);
        return $this->pdo->lastInsertId();
    }
}

Хотя если честно, то я большого смысла в этом классе не вижу.
Меня бы устроило простое расширение класса PDO типа такого

class MyPDO extends PDO
{
    public function run($sql, $bind = NULL)
    {
        $stmt = $this->prepare($sql);
        $stmt->execute($bind);
        return $stmt;
    }
}

Да, вставка будет выполняться за две строчки, а не одну,

$pdo->insert('INSERT INTO test_table (`name`, `age`) VALUES (?,?)', ['Ivan',43]);
$id = $pdo->lastInsertId();

но я не уверен что стоит городить целый класс из-за одной строчки.

В общем я добился от автора объяснения, что ему нужно

например при использовании значении переменной например good=bad далее выполнив команду echo $good

То о чем ты говоришь, называется не команда, а переменная. Это и сбило всех с толку.

Объяснение очень простое.
Поскольку в баше ОЧЕНЬ нестрогий синтаксис, и любой текст воспринимается как строка без всяких кавычек, то нужен способ отличить переменную от просто строки. Если ты напишешь

good=bad
echo good

то как система поймет, ЧТО ты хочешь вывести - строку good или переменную good?
поэтому тут без вариантов - переменную надо как-то отличать от остального текста. Это и делает знак доллара

При этом для присвоения значения переменной знак доллара не нужен, поскольку система видит по знаку =, что речь идет о присвоении (и видимо поэтому нельзя ставить проблелы вокруг знака =).
Да, нелогично. Но не все в нашей жизни поддается логике

Как уже сказали, дело в версии РНР.
Плюс этот неграмотный винегрет надо выкинуть и переписать заново
вот тебе нормальный код

class Database
{
    public $db;

    public function __construct($host, $user, $password, $database)
    {
        mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
        $this->db = new MySQLi($host, $user, $password, $database);
        $this->db->set_charset("utf8mb4");
    }

    public function query($query, $params = [], $types= '') {
        $types = $types ?: str_repeat("s", count($params));
        $stmt = $this->db->prepare($query);
        $stmt->bind_param($types, ...$params);
        $stmt->execute();
        return $stmt;
    }

    public function select($query, $params = [], $types= '') {
        if (!$params) {
            return $this->db->query($query);
        } else {
            return $this->query($query, $params)->get_result();
        }
    }
}

Ответ сильно зависит от текущего уровня.

Если совсем ноль, то файл с настройками, файл с основным шаблоном сайта, и по паре файлов на каждую страницу - код и шаблон. Обращения идут к РНР файлам напрямую - index.php, blog.php, profile.php

Дальше файл с кодом инклюдит настройки, выполняет код, задаёт имя файла своего шаблона, и инклюдит основной шаблон, а тот внутри себя инклюдит шаблон страницы.

Когда этот этап пройден, прочитать статью "Симфони против чистого РНР"