FanatPHP

t.close_date >= curdate()

https://qna.habr.com/q/911853#answer_1838455
https://qna.habr.com/q/918033#answer_1847841

Никак.
Это не стёб и не троллинг. Это единственный возможный ответ на этот хороший, в сущности, вопрос.

ООП - это не картина, которую купил и на стенку повесил, для красоты.
Это инструмент для решения какой-либо задачи.
Если задачи нет, то и ООП применять не следует.

в данном случае перед ООП надо выучить куда более базовые вещи.
Например научиться применять готовые классы, такие как mysqli
узнать почему за использование @ программистам в аду льют кипяток на самые нежные части тела
выучить что exit('Ошибка подключения'); - это говнокод
ну и открыть для себя разделение логики работы с данными и логики отображения. То есть сначала получить все данные, а потом только выводить.

Эту страницу можно переписать в соответствии с принципами аккуратного кода

Сначала сделать файл config.php.
Этот файл можно будет исключить из системы контроля версий и таким образом иметь на каждом сервере свой

<?php
return [
    'db' => [
        'host' => '127.0.0.1',
        'port' => 3306,
        'db'   => 'pizza',
        'user' => 'root',
        'pass' => '',
        'charset' => 'utf8mb4',
    ]
];

потом сделать файл mysqli.php
Этот файл можно будет включать во все скрипты, которым нужно соединение с БД

<?php
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$db = new mysqli(
    $config['db']['host'], 
    $config['db']['user'], 
    $config['db']['pass'], 
    $config['db']['db'], 
    $config['db']['port']
);
$db->set_charset($config['db']['charset']);
$db->options(MYSQLI_OPT_INT_AND_FLOAT_NATIVE, 1);

Потом сделать страницу pizza.tpl.php в которую поместить весь HTML

.
            <select id="single" class="form-control" name = '1234' >
                <option value="" disabled selected style='display:none;'>выберите тип</option>
                <?php foreach($types as $object): ?>
                    <option value ="<?=$object['id']?>"><?=$object['name']?></option>
                 <?php endforeach ?>
            </select>

И потом сделать страницу pizza.php на которой собрать это всё вместе

<?php
$config = require 'config.php';
require 'mysqli.php';

$sql="SELECT * FROM pizza";
$types=$db->query($sql)->fetch_all(MYSQLI_ASSOC);

include 'pizza.tpl.php';

После этого можно будет потихоньку приглядываться к ООП.
Например сделать класс pizzaModel
Но делать его будет иметь смысл только тогда, когда мы будем знать, какие еще действия с пиццей будет производить этот код

И не будет никакой ошибки, потому что код взят из какого-то древнего руководства, написанного обезьяной.
Меня вот поражает, ну ОТКУДА вы вы выкапываете это дерьмо мамонта? На каком ютуб канале, какой гамадрил вот это вот всё вещает?

- print "Ошибка!: " . $e->getMessage() писал дебил, потому что специально выводить ошибки не нужно - РНР и так выведет ошибку, если его об этом попросить.
- try {} catch (PDOException $e) { писал дважды дебил, потому что ПДО будет кидать исключения только если ему об этом сказать при соединении. А дебил об этом не сказал
- try {} catch (PDOException $e) { писал трижды дебил, потому что см. выше. Не нужно ловить ошибку, чтобы её вывести.
- VALUES ('{$name}', '{$surname}', '{$age}', '{$email}', '{$phone}', '{$index}'"); - а вот это уже, я думаю, не руководство, а самодеятельность автора кода. Даже в дебильном руководстве такое вряд ли можно увидеть.
- enter' => $submit - это уже тоже автор кода, от излишнего усердия и ПОЛНОГО не понимания своих действий
- ну и да, почему-то в списке полей id_user есть, а в VALUES внезапно нету. "Где логика, где разум?" (с)

В общем учимся работать с БД в РНР заново

.
// Параметры для подключения
$db_host = "localhost";
$db_user = "root"; // Логин БД
$db_password = "root"; // Пароль БД
$db_base = 'test'; // Имя БД
$db_encoding = "utf8mb4" // кодировка 

// Подключение к базе данных
$db = new PDO("mysql:host=$db_host;dbname=$db_base;charset=$db_encoding", $db_user, $db_password);
// Просим ПДО сообщать об ошибках
$db->setAttribute( PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION );

// Собираем данные для запроса
$data = array( 'name' => $name, 'surname' => $surname, 'age' => $age, 'email' => $email, 'phone' => $phone, 'index' => $index);
// Подготавливаем SQL-запрос
$query = $db->prepare("INSERT INTO `users`(`user_name`, `user_surname`, `user_age`, `user_email`, `user_phone`, `user_index`) 
                     VALUES (:name, :surname, :age, :email, :phone, :index)");
// Выполняем запрос с данными
$query->execute($data);

Хотя бы так

Цифры тут как раз совершенно не обязательны, а вот знаков вопроса должно быть больше. На каждый айди.
ПХП не джинн из бутылки, чтобы отгадывать, что тут имелось в виду - целиком строка или отдельные значения.
Если нужны отдельные значения, то и передавать их надо по отдельности, n'est pas?

Это конечно не так красиво выглядит, но других вариантов все равно нет

$array = [8,10,11]; 
$in  = str_repeat('?,', count($array) - 1) . '?';
$sql = "SELECT * FROM users WHERE id NOT IN ($in)";
$stmt  = $db->prepare($sql);
$stmt->execute($array);

Тег <script> не имеет ни малейшего отношения к mysql.
Наличие этого тега в базе данных никакой инъекцией не является.

"Инъекция" будет только если этот тег будет выведен внутри HTML кода как есть. Называется XSS
"Инъекция" которая относится к mysql называется SQL инъекция, и чаще всего позволяет прочитать из БД любые данные. Скорее всего является неактуальной для данного сайта, поскольку там просто нечего читать.

Чтобы защититься от XSS, надо использовать htmlspecialchars() при выводе данных в HTML
Чтобы защититься от SQL инъекций, надо использовать для работы с БД подготовленные выражения
Чтобы не "совали" всякий мусор, надо использовать защиту от спама, например капчу.

https://qna.habr.com/q/911853#answer_1838455

ошибок и не будет
потому что ПДО не настроен показывать ошибки
чтобы настроить, вместо того говнокода который сейчас, должно быть примерно так (не забыть подставить свои значения)

$host = '127.0.0.1';
$db   = 'weekly_journal';
$user = 'root';
$pass = '';
$port = "3306";
$charset = 'utf8mb4';
$options = [
    \PDO::ATTR_ERRMODE            => \PDO::ERRMODE_EXCEPTION,
    \PDO::ATTR_DEFAULT_FETCH_MODE => \PDO::FETCH_ASSOC,
    \PDO::ATTR_EMULATE_PREPARES   => false,
];
$dsn = "mysql:host=$host;dbname=$db;charset=$charset;port=$port";
$pdo = new \PDO($dsn, $user, $pass, $options);

после этого если не получится записать, то БД сама скажет - почему.