ThunderCat

Альтернативный синтаксис в php имеет смысл только при смешении php и не-php кода в одном файле. В случае в javascript это не так работает - php сразу влияет на структуру страницы, еще на этапе подготовки и отдаче кода браузеру, а js влияет на структуру dom-дерева (т.е. когда браузер сможет превращать код на странице в то, с чем js может работать). Самое близкий ответ на вопрос - это шаблонизаторы на js с похожими конструкциями, но это уже "надстройка", отдельные пакеты, а не конструкция языка

В SQL понятия "первые" и "последние" строки появляются только после того, как вы явно зададите порядок сортировки. Для того, чтобы последние стали первыми достаточно этот порядок поменять (ASC/DESC). Ну а взять первые пять строк - это вообще не проблема.

Никак.

На самом деле надо качать Лару а ещё лучше - Симфони.
Только не тупо зазубривать, а пытаться понять, почему там так сделано. Это и будет теми самыми примерами.
И да - не Лару точно. Потому что там очень много магии которая полезна тем кто понимает как она работает и очень вредна для тех кто учится.

И вот изучая нормальный фреймворк ты как раз и будешь учиться примерам хорошего кода.
Начать можно с этой хрестоматийной статьи https://symfony.ru/doc/current/introduction/from_f...
А потом переключаться на https://github.com/symfony/demo

Честно говоря, я не очень понимаю, что ты имеешь в виду под "знаниями чистого пыха".
Чисты пых - это синтаксис, учится за две недели.
А остальное - это уже программирование, общее для любых языков и фреймворков. Отладка, репортинг ошибок, профайлинг, оптимизация, структурирование кода, олгоритмы.

И кстати я совсем забыл. У нас же есть гений в своем отечестве, Дмитрий Елисеев. На фоне бесчисленных неграмотных выскочек типа хаудихи или, прости господи, руселлера, это реально человек который знает, о чем говорит.
И - что гораздо реже случается - умеет донести эти знания до аудитории.
И насколько я понимаю, твой уровень уже должен позволять в принипе понимать, о чем он говорит.
В общем начать можно отсюда, https://elisdn.ru/blog/113/psr7-framework-http
и дальше остальные материалы.

Практика. Нужен опыт решения конкретных задач средствами языка.
Фреймворки, паттерны и прочая архитектура не может изучаться на пустом месте, все это нужно цеплять на опыт.
Говнокод, который решает задачу, лучше, чем красивая архитектурка, списанная с учебника.
Когда понимаешь, как можно решать - можешь оценить качество решений. Без этого понимания будешь смотреть, как баран, и изобретать карго-культы.

imagejpeg($newImg, $path);
imagecreatefrompng ХХХХХХХХХХХХХХХХХХХХХ.png' is not a valid PNG file.

sleep(3) выполняется в каждой итерации, то есть никаких "остальные все сразу" не будет

другое дело непонятно зачем спать три секунды когда надо спать одну треть секунды, то есть надо писать

usleep(400000);

Проблема такой защиты от DDOS на PHP в том, что атакующий пользователь все же успевает запустить скрипт на PHP, хоть и с минимальными ресурсами. Если у вас архитектура серверного приложения построена не на event loop (как правило, обычные сайты), то для каждого запущенного скрипта выделяется отдельный системный процесс - не самый экономный вариант работы PHP сервера.
Поэтому, нерадивых пользователей лучше отшивать как можно раньше.
Идентифицировать плохого пользователя вы можете и на PHP, а вот работу по его отсечению лучше доверить системе, которая стоит перед PHP сервером. Это может быть и Apache, и Nginx.
Определяете пользователя и добавляете его в файл черного списка по IP, user agent или cookie, который будет обрабатывать настроенный Apache или Nginx.
Лучше конечно, чтобы это был отдельный файрвол, еще лучше - на железке (но в условиях арендуемого хостинга такое маловероятно).

Первый вариант, разумеется, вообще ни о чём.

Есть три вектора атаки на пароли: перебор по радужным таблицам, брутфорс и подбор по словарю.
От первого защищает соль, от второго алгоритм, от третьего сложность пароля.

У нас здесь речь идет об алгоритме. То есть, о буртфорсе. Что такое брутфорс? Это тупо подстановка случайных сочетаний символов по очереди и проверка, не совпал ли хэш. Чем быстрее вычисляется хэш, тем быстрее раскалывается пароль.
ПОЭТОМУ, ключевой характеристикой хэша для паролей является сложность его вычисления.
Твой ша-пицот-двенадцать выплоненный стопицот раз - это для современной техники как воробей чихнул. А для будущей и подавно.
Поэтому умные люди придумали алгоритмы которые во-первых вычисляют каждый хэш гораздо медленнее, а во вторых адаптируются под растующую скорость процессоров, и говорят тебе когда пора уже усложнять алгоритм. Именно этим и занимаются встроенные функции, и поэтому ты должен использовать именно их.

1. отправлять форму через XHR / fetch (ajax post).
2. редирект после отправки формы - типовое и надёжное решение
3. можно сохранять в сессию последнюю отправленную форму. и если видим дубликат данных то игнорировать этот post-запрос.

Если редирект "не помогает" то прошу в студию минимальный пример кода где у вас форма + страница которая после получения формы делает редирект, а мы проверим правда ли "не помогает".

БД на файлах называется SQLite и не надо изобретать ничего другого
расширение для работы с sqlite встроено в РНР начиная ещё с версии 5.3, кажется
почитать про inodes