SagePtr

Расширения браузера типа stylish

SELECT city FROM bases WHERE site_id=1 GROUP BY city HAVING MAX(status) = 0

$headers .= "Content-Type: text/html; charset=utf-8";
$headers .= "From: Создание сайтов Trust Code"; // Отправитель письма

А переносы на новую строку между строчками кто будет добавлять? У вас строчки слепляются в одну

На стороне браузеров - запретить флеши и прочие плагины (при условии отсутствия в браузере уязвимости, приводящей к выполнению произвольного кода). На стороне приложений - никак, ибо приложения могут узнать список доступных сетевых адаптеров и слить налево. Разве что при помощи брандмауэра запретить ходить в сеть всему, кроме нескольких доверенных приложений.

Подключаете агрегатор платежей, там настраиваете URL обратного вызова, по которому отправляется информация об успешном платеже, а на стороне этого скрипта обязательно при каждом запросе не забывайте проверять контрольную сумму (чтобы знать, действительно ли запрос отправлен агрегатором или каким-то левым злоумышленником) - и в случае успеха вносите в базу и выполняете нужные действия.

Вы пытаетесь использовать результат асинхронной функции в синхронном коде, так нельзя делать (да и невозможно так сделать).

А зачем проверять пароль, если злоумышленник через SQL-инъекцию в данном примере сможет под любым логином легко зайти?)