SymphoGraph

Первый запрос = принимаем на сервере номер телефона, генерируем токен (случайная строка длиной, предположим, 64 символа - цифры, буквы большие и маленькие), отправляем его на клиент. Генерируем код доступа, отправляем его смской на телефон. В зависимости от логики можем и не отправлять (если допустим у нас метод для логина а такого юзера еще нет (он еще не зарегистрирован)).

Второй запрос = отправляем с клиента токен (тот 64 символьный полученный от сервера) и строку с кодом из смс. Проверяем на сервере токен и код из смс, если все ок - пускаем в аккаунт.

Примечания:
1) токены и сами попытки входа должны жить определенное количество времени, предположим 5 минут.
2) попытки ввода кода (неправильные вводы) должны быть ограничены разумным числом (ну допустим 5 попыток)
3) если можно то лучше код сделать длиннее - хотя бы 6 цифр, а лучше 8 и более.
4) попытки входа в аккаунт можно ограничить, но тогда будет можно абузить эту "фичу" и блокировать вход чувакам, тут выбираем меньшее из зол исходя из бизнес требований
5) можно экономить на смсках и доставлять код в последних цифрах номера / голосовой озвучкой, отправлять в вк, ватсап, телеграм, вайбер

500 айкью примечания для кое какой защиты от слива бюджета:
1) можно юзать капчу (можно не всегда а когда начинается аномалия по отправке кодов - всплеск количества отправок)
2) как уже и говорил разделение входа и регистрации
3) ставим бот защиту от какого нибудь сервиса по защите от ддос/бот атак
4) иногда можно не отправить код а отправить клиенту респонс что код отправлен, если клиент вводит код - скорее всего это атака. человек же запросит код повторно (потому что он тупо ему не пришел)
5) иногда можно отправить код не сразу а через предположим, 30 секунд - если ввели код раньше - значит что-то не так

Не сочтите за грубость, но вас из крайности в крайность бросает. То вы не хотели связываться с бд так как это "слишком сложно" и хранили все в файлах, измываясь и над собой и над ребятами которые все это пытались как-то образумить... Сейчас есть большой шаг вперед - вы подружились с бд, но теперь, как в той поговорке - если в руках молоток - все кажется гвоздем... Конфиги из нескольких переменных проще хранить в файле настроек, например в формате JSON. Если уж очень хочется забить шуруп молотком - заведите табличку сеттингс, храните в ней пары ключ-значение, или вообще одну строку с тем же JSON.

Самое отвратительное из известных решений. В БД храним путь к файлу и любые мета данные. Файл лежит в файловой системе. Там его и конвертируем в любой удобный формат и разрешение. Никаких полумер. Картинкам в БД не место.

https://dev.vk.com/ru/api/access-token/getting-started - тут ты получишь информацию про авторизацию.

Там есть пример ссылки для авторизации(пример: https://oauth.vk.com/authorize?client_id=1&redirec...). После перехода по этой ссылке появляется обычное окно для авторизации.

После успешной авторизации тебя редиректит на страницу, которая передана в query-параметре "redirect_uri".(в ссылке выше). Это заранее подготовленная страница твоего сайта. После редиректа ты будешь на странице "example.com/callback?token=wfjnjfkefhhu&id=217321231"(к примеру). Здесь тебе понадобится query-параметр "token". С его помощью ты сможешь взаимодействовать с API вконтакте.

https://dev.vk.com/ru/method/account - здесь описаны методы для взаимодействия с профилем вк с помощью токена.

Давайте я погуглю за вас:
https://webref.ru/recipe/2687
Правда это не по числу символов, а в размер блока... но тем не менее... Для обрезки по числу символов, по хорошему, для корректной орфограии надо городить скрипт расстановки переносов &shi; и вычислять на каком месте сделать "обрезание" и установку многоточия...

Если у вас пыховое приложение на древней версии, в нем стопудово куча дублирования кода и велосипедов там, где фреймворк предлагает готовое, отлаженное и стандартное.
Нет смысла переписывать велосипеды на ООП только для того, чтобы потом понять, что из них нужно только вычленить (и все равно во многом переписать) бизнес-логику, а все остальное надо просто выкинуть.
Кроме того, CRM - это куча однообразного контента и на фронте. Сразу перенести его на современный фрейм, в котором данные на бэке и фронте аккуратно синхронизируются, может опять-таки оказаться быстрее, чем мучить те велосипеды.
Ну, а если все сделано в худшем стиле и комком - вовсе оставить копролит и переписать с нуля шаг за шагом. Именно для последующего развития и поддержки.

Здесь уместна логика, как в анекдоте про бармена, который каждый день наливал проверяющему 90 грамм вместо заказаных ста. "Мне выгоднее тебе каждый день штраф платить, чем руку сбивать". Вот и программисту должно быть больно видеть приведенную конструкцию, а время, потраченное на рассуждения о том, безопасна она или нет, лучше потратить с большей пользой.