FanatPHP

Нужно пользоваться нормальным редактором. Он сразу все покажет

Тот редкий случай, когда автор вопроса куда лучше разобрался в проблеме, чем те, кто пытается отвечать.

Да, всё верно, Симфони приучает к правильной структуре кода. Так что самым лучшим вариантом будет устроиться на работу в компанию, где используется Симфони - и учиться на практике.

Если же решать проблему с нуля - то есть из теории - то чтением книжек отцов-основателей - Мартина, Фаулера - вот это вот всё. Новичкам редко подходит, так что я бы рекомендовал совмещать теорию с практикой.

1. Закопать Fuel обратно в его могилу и больше не беспокоить прах этого умершего в далекой древности старца.
2. Вместо него учить Laravel
3. Открыть для себя документацию РНР и в непонятных случаях обращаться к ней. В это трудно, конечно, поверить, но там всё написаною Эта ссылка находится в двух кликах по запросу "РНР ООП"

Честно говоря, я и сам себя часто ловлю на такой "лености мозга". Когда ты 100% можешь сам найти ответ, но спросить у знающего человека проще. но тут важно не поддаваться, и сначала пытаться самостоятельно. Для этого в любом вопросе должна быть фраза - "я искал такм-то", но не нашёл. В процессе написания этой фразы ответ сам и сыщется. В итоге в будет сэкономлено время, приобретён опыт и в интернете будет будет меньше мусора.

Я думаю, что preg_quote() должна подойти.

Правильный ответ

// Достанем юзера по мылу
$sql = 'SELECT * FROM `user` WHERE `email` = ?';
$result = $db->prepare($sql);
$result->execute([$email]);
$user = $result->fetch();

// потом сверим его хеш пароля с паролем из формы
if ($user && password_verify($_POST['password'], $user['password'])) {
 echo "it's ok";
}

Переменная в запросе только одна, поэтому нет смысла устраивать писанину с именованными плейсхолдерами.
Запрос может не вернуть ни одной строки, и если это не проверить, то будет ошибка.
Ну и имя поля в таблице вполне себе читается из запроса.

По поводу остальных вопросов. Есть такая штука, поисковая машина. Она помогает находить ответы на вопросы самостоятельно. Самыми популярными являются google.com и yandex.ru. И это реально работает. Просто попробуй:
Что дают обратные апострофы в именах таблиц и полей?
password_hash и PDO

Нет, не стоит.

С такой мотивацией ("а не написать ли мне враппер?...") писать вообще ничего не нужно. Потому что ничего хорошего не выйдет.

Я даже могу точно предсказать, что выйдет: монстр, который многотрудно и многословно дублирует 10% функционала PDO, не добавляя при этом никаких улучшений, и при этом делает невозможным использование остальных 90%.

Любой код надо писать не от нечего делать, а только имея четкое представление - зачем конкретно этот код нужен, какую конкретно проблему он будет решать.

Поэтому место написания враппера санчала надо научиться использовать оригинальный ПДО, разобраться с тем, как его правильно использовать, изучить его сильные и слабые стороны, понять, чего вам в нем не хватает, и только потом садиться писать враппер, который добавляет недостающую функциональность, но не урезает при этом существуюущую.

Все верно объснили, но никто не написал, как сделать правильно.
Единственным правильным вариантом использования такой функции будет что-то вроде

function getСolumn( $db, $sql, $params = null) {
    $stmnt = $db->prepare( $sql );
    $stmnt->execute($params);
    return $stmnt->fetchAll( PDO::FETCH_COLUMN);
}
print_r( getColumn( $db, 'SELECT category_name FROM categories') );

Или, в еще более генерализованном варианте,

function query( $db, $sql, $params = null) {
    $stmt = $db->prepare( $sql );
    $stmt->execute($params);
    return $stmt;
}
print_r( query( $db, 'SELECT category_name FROM categories')->fetchAll( PDO::FETCH_COLUMN) );

Я настоятельно не рекомендую заниматься экономией на спичках и пытаться скостить себе написание двух SQL операторов. Мало того, что надпись вида getNames( $db, 'categories', 'category_name' ) сторонний человек не поймет без того чтобы заглянуть в описание функции, мало того, что такое написание вызывает ложное чувство безопасности. Но, главное, запрос без параметров очень редко когда бывает нужен, и такая функция большую часть времени просто не будет использоваться.

SQL - это гениальное изобретение, позволяющее буквально в нескольких словах описать сложнейшие операции с данными. Не надо считать себя самым умным и пытаться "улучшить" SQL, сократив его до лексикона Эллочки-людоедки.

Код подключения также надо поменять, поскольку возвращать строку из функуции, которая должна возвращать объект - это какая-то бессмыслица, чтобы не сказать еще хуже.
Вот допустим у нас подключение не удалось. Мы пытаемся использоватьс строку с ошибкой в качество объекта ПДО и... что?

Не нужно вообще ловить исключения PDO. Они прекрасно могут сообщить о себе сами.

function dbConnect($dsn, $user, $password) {
    return new PDO( $dsn, $user, $password, [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION] );
}

Потому что apache2 к ошибкам пхп не имеет вообще никакого отношения.
А все установленные в php.ini значения могут быть переписаны в коде.

Судя по кастомной странице ошибки, программное обеспечение, которое вы водрузили на сайт, блокирует вывод ошибок на экран. И правильно делает. На боевом сервере ошибки должны идти в лог. Вот там их и надо смотреть.

А для домашнего компьютера, который никто кроме вас не видит, надо посмотреть, как настраивать ваше программное обеспечение для режима разработки. Наверняка есть опция настройки, которая за это отвечает.