Алексей Уколов

Это у Вас не роутер, а целый сайт/приложение. Монолитное. Единое целое.
Что "не так" с этим приложением?
Всё. Если говорить о правильности подходов.
Что так с этим приложением?
Оно работает. И оно является этапом Вашего роста.
Роутер не должен ничего инклудить и, тем более, знать о каких-то там темплейт-хедерах, да ещё и запросы в базу делать.
Он должен только обладать информацией - "с этим - туда, а с этим - сюда". А информацией этой может воспользоваться уже Диспетчер. Он у Вас тоже вмонтирован своего рода в монолит.
Вам правильные вещи тут говорят. Попробуйте услышать.

Вы используете browser-sync в качестве зависимости в вашем проекте, он сам по себе имеет зависимости, которые в свою очередь имеют свои зависимости, которые в свою очередь...

background: -webkit-linear-gradient(bottom, #87C03B, #98D647);

такую запись браузер читает как

background-image: -webkit-linear-gradient(bottom, #87C03B, #98D647);

background-color меняетcя, но под градиентом этого не видно. Можете проверить, поставив один из цветов в transparent;

Лучше в команды добавьте новое поле для id стадиона, всё равно ведь тип поля менять, а поле названия потом удалите. Когда проверите, что id заполнены верно и для всех строк.

update команды join стадионы on стадион=стадионы.название set стадионid = стадионы.id

Здесь не один вопрос, а целых...три
1. Зачем мне https
2. Почему самоподписанный сертификат небезопасен
3. Чем отличается самоподписанный сертификат от выданного доверенной организацией
Итак.
1. https, нужны только для того, чтобы хром не зажигал красный флажок (последние версии уже начали маркировать такие сайты) - это что-то типа установки Windows 10 pre-alpha - круто, потому что новое. Если шифровать нечего - не шифруйте и пофиг на флажок. Если сайт продающий и пофиг быть не может - убейте жабу и купите сертификат от УЦ. Влезть на елку и не поцарапать попу не получится
2. Самоподписанный сертификат небезопасен потому что никто не гарантирует правдивость данных, которые в нем. Это все равно что взять бумажку и написать на ней "Паспорт" - написать никто не мешает. Верить никто не будет. Чтобы такому сертификату начали верить, он должен быть добавлен в хранилище корневых сертификатов - причем на всех компьютерах, которые будут на него заходить. Вот поэтому, если сайт продающий и Вы даже о флажке так печетесь - как будете обьяснять юзеру, чтобы он скачал себе Ваш сертификат и добавил его в корневые? Тем более, что например на Windows Mobile это сделать в принципе нельзя (на нерутованной)
3. Сертификат выданный доверенной организацией отличается тем, что сертификат самой организации уже добавлен во все хранилища всех браузеров - и все сертификаты, выданные ею, считаются доверенными. В этом и заключается опасность бесплатных раздатчиков сертификатов - из сертификата может либо не оказаться, либо он будет "подозрительным". Еще раз - если сайт продающий - убейте жабу и купите нормальный сертификат от нормального УЦ. Экономия на бесплатных сертификатах может выйти боком.

Вынесите someObject в замыкание и внутреннюю цепочку промисов перенесите во внешнюю

someObject = null //не знаю можно ли писать в cs var поэтому так
Promise.resolve()
.then(@getObjectDescription.bind(@))
.then(
  (so) ->
    someObject = so
)
.then(@getSomeSpecialFieldValue.bind(@))
.then(
        (value) ->
          someObject.special_field = value
          return someObject
)
.then(
  (someObject) ->
    data = new FormData()

    data.append('field', someObject.field)
    data.append('special_field', someObject.special_field)

    options =
      method: 'post'
      body: data

    return options
)
.then(@execute.bind(@, 'rest.api.method'))

Подготовленные выражения защищают от SQL-инъекций тем, что отделяют синтаксис запроса от значений параметров запроса. Суть любой SQL-инъекции - изменить синтаксис (текст, если угодно) запроса тем или иным образом. Если вы передаете текст запроса и параметры отдельно, не будет никакой возможности повлиять на синтаксис запроса из параметра запроса.

В случае поддержки со стороны СУБД, подтоговленные выражения PHP должны использовать возможности СУБД и передавать ей сначала текст запроса для компиляции, а уже потом, отдельно - параметры запроса.

Теоретически, проблемы могут быть только в случае, если prepared statements не поддерживаются самой СУБД и эмулируются PDO (т.е. на стороне скрипта, а не БД). Тогда косяки в реализации сборки конечного запроса могут сказаться на безопасности. В случае поддержки со стороны СУБД "реализовывать" просто напросто нечего - вы защищены от инъекций не за счет экранирования всего и вся, а за счет правильного подхода - никогда не смешивать сам запрос и его параметры.

Насколько мне известно, mysql уже давным-давно поддерживает prepared statements, поэтому не вижу смысла бояться их использовать. А даже если б это было не так, вероятность в том, что при ручной сборке запроса накосячите ВЫ - гораздо выше.

UPDATE: полезнейший коммент на странице php.net/manual/ru/pdo.prepare.php:

With PDO_MYSQL you need to remember about the PDO::ATTR_EMULATE_PREPARES option.

The default value is TRUE, like
$dbh->setAttribute(PDO::ATTR_EMULATE_PREPARES,true);

This means that no prepared statement is created with $dbh->prepare() call. With exec() call PDO replaces the placeholders with values itself and sends MySQL a generic query string.

The first consequence is that the call $dbh->prepare('garbage');
reports no error. You will get an SQL error during the $dbh->exec() call.
The second one is the SQL injection risk in special cases, like using a placeholder for the table name.

The reason for emulation is a poor performance of MySQL with prepared statements. Emulation works significantly faster.

Так что да, есть доля внезапности в поведении PDO. Я думаю стоит порыть инфы о настройке PDO::ATTR_EMULATE_PREPARES. Я считаю, что включать по-дефолту именно эмуляцию - это в высшей степени недальновидное решение. Проблемы MySQL затыкаются на стороне стандартной библиотеки языка....