SagePtr

salt где хранится?

php.net/manual/ru/migration53.php

file_put_contents

Мне кажется, или пованивает Поповым?

По-хорошему - юзать плейсхолдеры. Защитит потом не раз от SQL-инъекций.

По символам юникода разбивает

На сервере ключ уворуют или внедрят код, который уворует.
На клиенте если просчитывать - тоже подменят скрипты и смогут уворовать.
Вижу пока что только один вариант - если в качестве клиента будет использоваться программа, подписанная ЭЦП автора, которая не будет полностью доверять серверу. А при скачивании обновлений проверять их ЭЦП и только тогда ставить. В итоге даже если сервер взломают, то не получат ключ, которым автор подписывает программу, и не подменят её, а ключи пользователей дальше клиента никуда не уйдут. Хотя и тут могут подменить инсталлятор программы, но получат его только новые пользователи.

Ну, в PHP начиная с какой-то версии, можно создавать сокеты и слушать входящие соединения, потому вполне можно написать собственный почтовый сервер, принимающий письма и позволяющий проверять) Другое дело - а оно надо?)

А почему у события отправки формы нет preventDefault?

Могу посоветовать выкинуть mysqli и юзать PDO. Там это решается практически одной строчкой. Ну максимум двумя)

Разумеется, вы же каждый раз заново загружаете файл. Для каждого изображения нужно один раз загрузить и куда-нибудь сохранить размеры, не пересчитывать каждый раз.
К тому же, загружать можно не весь файл, а только часть.

Запускать php от юзера, который не имеет доступа к этим папкам

Логи для кого пишутся?

Добавить полю аттрибут zerofill, тогда оно будет с нулями возвращаться.

В UTF8 латиница выглядит точно также, как и в Latin1, так что точно не баг кодировки, а проблемы с самой таблицей. Восстанавливать из бэкапа.