SagePtr

Для начала, прочитать файл и "проиндексировать" его - сохранить где-то смещения строк, чтобы весь файл повторно каждый раз не перечитывать. А потом уже можно брать случайное смещение из файла, хранящего смещения, и по нему уже брать из исходного файла случайную строку.

Кавычки внутри атрибутов можно экранировать так:

echo '<div class="box_img"'. 'style="background: url(&quot;' . $images. $row['extra_data']. '&quot;) no-repeat center/cover;">';

На серверах в большинстве случаев экрана нет вообще

Перед вставкой данных их необходимо обязательно проверять (в том числе и на непустоту для обязательных полей). В вашем случае ещё и легко произвести SQL-инъекции.

https://www.php.net/manual/ru/features.file-upload...

Открыть ваш код в любом редакторе с подсветкой синтаксиса, и сразу заметите, где строку не закрыли

4-м параметром в конструктор PDO передавайте хотя бы это:

$pdo = new PDO($dsn, $user, $password, [PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION]);

Вы же не хотите поиграть в слепого котёнка?

Проблема ещё в том, что апач прожорливый, и если пытаетесь защититься при помощи .htaccess от множества запросов - то скорее всего, эти запросы уже положат апач. А ещё, если адресов в чёрном списке будет много - то это сильно замедлит легитимные запросы, потому что при каждом запросе должен будет читаться и парситься .htaccess, который будет очень сильно расти.
Потому блокировать нужно явно ещё раньше, к примеру, средствами брандмауэра (если не рассматривать внешние способы защиты, при которой эта задача ложится на хостера или промежуточное звено вроде cloudflare, а до сервера доходят уже отфильтрованные запросы).
При большом объёме - чёрный список должен быть не линейным, т.к. время O(n) нас явно не устраивает, проверки наличия адреса будут занимать много времени, поможет к примеру ipset, хранящий отмеченные адреса в виде хэш-таблицы.

Зачем эти 3 запроса? Достаточно просто выбрать одну строку с нужным логином и паролем, а потом уже в ней проверять поля ban и admin.
И кстати, когда делаете header('Location: ...'), то скрипт продолжает выполняться далее (в вашем случае - до конца), не стоит полагать, что на этом он будет остановлен, просто пользователь не увидит, что там было дальше. Нужно после этого явно вызывать exit, если хотите скрипт прервать в этом месте.

Нельзя просто взять и перекодировать бинарный файл, он от этого "побьётся".
Кроме того, в вашем случае - я бы рекомендовал изучить хотя бы основы PHP - что такое функции, что такое аргументы функций, и только после этого пробовал бы их писать. А также - научиться пользоваться официальной документацией и уметь в ней посмотреть, какие параметры принимает конкретная встроенная функция, и как ею пользоваться.

Разве что, раздраконить, уменьшить и "задраконить" обратно

if ($user['rights'] < $rights)
Как это должно сработать в случае, если $user = false ?
Скорее всего, из-за ошибки это условие просто принимается как false, и проверка ваша проходит.
UPD: Всё-таки возвращает true, но я бы не рекомендовал полагаться на неявные преобразования типов, тем более, начиная с PHP 7.4 это генерирует Notice, а в будущих версиях однажды может быть убрано.

Знак вопроса не должен быть в кавычках, иначе это будет строковой литерал вместо подстановочного символа. Нужно просто:
"SELECT * FROM users WHERE email = ?"