ThunderCat

Но тут возникает проблема в формировании prepared statements в PHP (PDO).

А в чем проблема?

$sql = 'SELECT * 
FROM articles 
WHERE name LIKE ? 
AND name LIKE ?';
$prep = $dbh->prepare($sql);
$ret = $prep->execute(['%' . 'опух' . '%', '%' . 'поч' . '%']);

Вы столкнулись с проблемой "бумажки на мониторе", то есть не озаботились безопасностью данных на должном уровне, и теперь пытаетесь вместо того чтобы более серьезно отнестись к общей безопасности, найти 1 "универсальное" решение, которого нет.

В общем случае достаточно вынести чувствительные данные выше документ рут и исключить файлы с ними из репозитория, внеся в гитигнор. Все остальные телодвижения никак не повышают общую безопасность, и любые меры сокрытия реквизитов упираются в небезопасность хранения проекта, дырявость самого сервера или недостаточную изоляцию чувствительных данных от кода.

Основным общепринятым "правильным" методом хранения паролей на сегодня является использование .env файла, он лежит выше документ рут, имеет атрибут скрытого по умолчанию в линукс системах, а так же большинство IDE автоматически вносят такие файлы в гитигнор, то есть сразу удовлетворяет большинству требований.

если речь идет о svg(что за канвас вообще?), то в ридми все описано, естественно для рендера в свг нужно будет поменять рендерер бэкенд на соответствующий - SvgImageBackEnd

Гуглить сервисы проверки почты. От базового мэйлтестера до проверки на спам листы.

Вам нужна единая точка входа и базовый функционал инклуда/чтения файлов. Далее по вкусу: либо делать инклуд + буферизацию вывода и заменять контент на нужный регулярками/заменой, либо читать файл, менять нужное и отдавать как ответ. По сути одно и то же, просто код будет чуть отличаться.

Мне нужна функция на php, которую можно вызывать и при загрузке страницы, и в том числе в фоновом режиме, которая заполняла бы поля на странице.

Странице чего? Вашего сайта или чужого? И что значит "в фоновом режиме"?

Щелчок на кнопке - вызов php-функции - заполнение полей на странице без перезагрузки.

Аякс. опять же, зависит от того чей сервер. Естественно на фронте код будет на яваскрипте, так что чистым пхп не обойдешься.

Возможно ли такое? (Пока на WordPress) Спасибо.

Возможно, но есть условия. Часть из них перечислил выше, остальные зависят от ваших умений.

Подскажите, что не так

1) Вы не читаете и не осмысливаете текст ошибки. Не в смысле глазами, а в смысле "что там произошло то?". Для вас текст ошибки проблема, а не путь решения.
2) Не проверяете то, что интерпретатор считает неправильным, что как бы прямое следствие п.1.
3) Считаете что знаете что на самом деле лежит в переменных, не заглядывая в реальные данные.

и при загрузке страницы мне сразу выводится "4"

Логично, так как пост пустой, а не нулл, а в остальных случаях срабатывают проверки на метод пост(вызванные через гет) и непустые пост поля, которые как бы пустые при методе гет.

но скрипт php как будто работает один раз при загрузке страницы и все,

Скрипт пхп ВСЕГДА работает 1 раз. При каждом обращении вы создаете запрос, скрипт его отрабатывает и умирает.

как сделать чтобы при отправке данных скрипт php отслеживал это ?

Так он отслеживает, просто вы с этим отслеживанием ничего не делаете. Посмотрите ответ сервера в запросе к message.php, ну и сделайте в js обработку ответа фетч запроса какую-то... То что метод называется буквально "взять" вас не на какие мысли не наталкивает? ))

Самое простое решение - шифрование. На первом сайте шифруете строку содержащую дату и время + имя файла + соль, получаете строку для урл. На втором сайте расшифровываете тем же ключом (ну или можно использовать асимметричный шифр и тогда ключ будет публичным на 2 сервере). Если дата не устарела (например время жизни ссылки ставите 1 час и проверяете разницу дат создания ссылки и текущего времени).

По уровню вопроса конечно понятно что гениальности от кода ждать не стоит, но все же...
Для начала пару занудных замечаний:
1)

if($query = $db->query("SELECT `login`, `password` FROM `admin`")){

Не стоит выбирать все записи из таблицы, если вам нужна одна, та где логины совпадают. Это в целом плохая практика, но еще хуже когда такой подход будет применен к большой таблице. SQL для этого и придуман чтобы так не делать. Так же, если у вас есть таблица пользователи, не нужно дублировать функционал, перенесите админов туда же, указав им уровень доступа или роль.
2) пароли в бд должны быть соответствующе зашифрованы, используйте соответствующие функции password_hash() и password_verify() при создании и проверке пароля.
3) Больше совет, чем инструкция: испльзуйте один стиль обрамления кодовых блоков везде, либо текстовые конструкции типа if - endif, либо везде фигурные скобки. Второе предпочтительнее.

Что касается собственно вопроса, есть несколько вариантов, самый кривой из которых уже написал сеньор Sergei Parfenov. При неверном логине код просто продолжается формой и вы имеете все данные о проверке, включая правильность/неправильность пароля. Стоит отметить что в данном случае блок проверки логина нужно обрамить проверкой метода запроса и вызывать ее только в случае если метод запроса POST (как это сделать - задание на дом).

Второй вариант более адекватный, так как первый имеет ряд недостатков.
1) В начале формы создаем переменные в сессии: $_session['message'] и $_session['old'] с пустыми значениями
2) В блоке проверки логина $_session['old'] присваиваем значения пришедшие из формы $_POST.
3) Если в ходе проверки у нас возникли ошибки, пишем сообщение об ошибке в $_session['message'].
4) Выполняем переадресацию. В форме сначала переносим в переменную $message = $_session['message']??'';; и $_session['message'] очищаем. Тоже самое делаем с $old, не забывая что там обычно массив;
5) Переносим в поля формы старые значения там где это нужно из $old;
6) Проверяем что лежит в $message, если там что-то есть - выводим сообщение об ошибке.
Профит.

по тому что гладиолус документация?