Павел Волынцев

Чтобы понять, как это взломать, надо понимать, как это работает и как такие проверки защищают от взлома.

if (isset($_POST['go']))
Для прохождения такой проверки нужно отправить запрос методом POST с параметром go в теле запроса
curl -d "go=1" -X POST somedomain/someurl

if (!isset($_SESSION['admin']))
Сессия - это ресурс на стороне сервера, например файл с определённым именем. К нему нет прямого доступа.

Для открытия сессии (то есть конкретного файла) используется идентификатор, сохраняемый в cookies. Обычно это PHPSESSID. Например, в куке PHPSESSID записано "2n24161uqm7ctl2tmp8b10sng3" - значит на сервер есть файл например /var/tmp/session_2n24161uqm7ctl2tmp8b10sng3.php (имя файла условное), а внутри записаны все значения массива $_SESSION, закодированные с помощью функции serialize.

Тут два варианта взлома:
1. В своём браузере записать в ту же куку то же значение, что и у админа. Для этого конечно, это значение надо у админа украсть.
2. На сервере открыть файл сессии, декодировать, подставить там параметр "admin" = 1, закодировать и записать обратно в тот же файл.

Оба вариант трудно реализуемы. Возможно, украсть куку админа будет чуть проще :) Например, украсть его ноутбук :) Или пошариться в его браузере, пока он душ принимает. Шпионство.
Для таких как мы - шпионов-лузеров - в $_SESSION на стороне сервера при авторизации также записывают UserAgent браузера и IP адрес компьютера админа, чтобы подмена куки не сработала. То есть там не только !isset($_SESSION['admin']) но и несколько других проверок например. Если проверка на user-agent - нужно будет ещё подменить UserAgent своего браузера или в curl передать в заголовках. Если проверка на IP - тупик, IP подменить будет нереально, это на уровне протокола TCP

Для подмены значений на сервере нужно взломать сервер. То есть либо подсунуть туда хитрый скрипт, который может быть выполнен путём запроса HTTP, он должен сделать описанное выше. Либо авторизоваться через FTP или SSH, затем либо искать файл сессии, чтобы поправить вручную, либо искать этот скрипт с проверкой !isset($_SESSION['admin']), чтобы закомментировать условие. Чтобы войти на сервер, понадобится стырить логин пароль у админа, либо украсть его ноут.

Иногда сессии хранятся не в файлах, а в других сервисах. Например, в memcached или redis или ещё где угодно.

В общем, юный хакер, изучай. Взломай для начала свой сервер с такими же проверками :)

mb_strtolower

Артем ответил правильно, но в указанном фрагменте кода https://github.com/igorsimdyanov/php7/blob/fd6d91e... нет биндинга. Это комментарии с заготовками кода. Кто-то написал на будущее. Под id подразумевался скорее всего slug страницы, чтобы из базы извлекать мета-теги. Его, к примеру, можно вычислить из URL текущего запроса или через какую-нибудь компоненту/класс/модуль, отвечающий за отображение текущей страницы.

Сначала - зачем нужен шаблонизатор. Тут подмена понятий. Скорее вопрос такой: как отделить вывод от заголовков. Если не отделять, то может быть такая ошибка

<html>
<body>
<?php
// начать сессию
session_start(); // отправить куку PHPSESSID через заголовки HTTP
// но она не может отправиться, потому что уже начался вывод HTML в строке "<html ..."

// если не авторизован, то отправить на страницу логина
if (empty($_SESSION['username']))
    header('Location: /login.php'); // но заголовок HTTP тоже не может отправиться, как и кука
?>
    <h1>Hello, <?php echo $_SESSION['username'] ?></h1>
</body>
</html>

Проблема решается, если вывод HTML делать после вывода заголовков. Например, использовать буфер

<?php ob_start(); // открыть буфер ?>
<html>
<body>
<?php
session_start(); //  кука PHPSESSID отправится, потому что HTML ещё в буфере
if (empty($_SESSION['username']))
    header('Location: /login.php'); // заголовок HTTP отправится, потому что HTML ещё в буфере
?>
    <h1>Hello, <?php echo $_SESSION['username'] ?></h1>
</body>
</html>
<?php ob_end_flush(); // выбросить содержимое буфера наружу и закрыть его ?>

Однако так придётся писать в каждом месте, где формируется HTML. Можно ли сократить?

Простейшее представление через буфер

<?php
function render($viewPath)
{
    if (!is_file($viewPath))
        return 'View "'. $viewPath . '" not exists';
    ob_start();
    include($viewPath);
    return ob_get_clean();
}

session_start();
if (empty($_SESSION['username']))
    header('Location: /login.php');

$viewsPath = __DIR__.'/views/'; // где лежат представления
render($viewsPath . 'page.php'); // нарисовать страницу HTML

<?php
# page page.php
?>
<html>
<body>
    <h1>Hello, <?php echo $_SESSION['username'] ?></h1>
</body>
</html>

А дополнительно ещё решают проблему отделения логики от формирования интерфейса. Работа с внешними данными в одном месте, а отображение их - в другом. Для этого в представление передают всё, что нужно показать. И точка. Лишних данных там не надо. В некоторых фреймворках стоит Exception если представление начнёт работать с базой данных, читает данные из входного запроса или пытается отправить заголовки.

<?php
function render($viewPath, $vars)
{
    if (!is_file($viewPath))
        return 'View "'. $viewPath . '" not exists';
    extract($vars); // extract делает из массива набор переменных в локальной области видимости
    ob_start();
    include($viewPath); // эти переменные будут видны внутри подключаемого файла
    return ob_get_clean();
}

session_start();
if (empty($_SESSION['username']))
    header('Location: /login.php');

$viewsPath = __DIR__.'/views/'; // где лежат представления
render($viewsPath . 'page.php', array( // отображаемые данные передаются массивом
    'username' => $_SESSION['username'],
));

# page.php
<?php
/**
 * Подсказки для IDE, чтобы не подсвечивал переменные как неопределённые
 * @var string $username
 */
<html>
<body>
    <h1>Hello, <?php echo $sername ?></h1>
</body>
</html>

Не правда ли, с представлениями код становится значительно изящнее. А если логика для реализации представлений хранится в отдельном файле-библиотеке, то код становится короче и понятнее.

В фреймворках вместо функции render может использоваться объектная реализация

<?php
class ViewException extends Exception {}

class View
{
    public $viewsPath = __DIR__.'/views/';
    
    public function __construct($viewsPath = null)
    {
         // настройка представлений
        // например, можно перепределить место хранения представлений
        if (!is_null($viewsPath))
            $this->viewsPath = $viewsPath;
    }

    public function render($viewPath, $vars)
    {
        if (!is_file($this->viewsPath . $viewPath))
            throw new ViewException('View "'. $viewPath . '" in folder "'. $this->viewsPath . '" not exists');
        extract($vars);
        ob_start();
        include($this->viewsPath . $viewPath);
        return ob_get_clean();
    }
}

$view = new View();
$view->render('page.php', array(
    'username' => $_SESSION['username']
));

Как таблицы шаблонизаирова если в одной 3 столбца, в другой 5?

Никто в представлениях не запрещает использовать языковые конструкции. Это могут быть конструкции языка PHP или какой-нибудь другой язык, специально написанный для шаблонизатора. Например, в Smarty, Blade, Pug свои языки. Передай в представление количество колонок и сделай цикл :)

у первой первый столбец должен быть 70% а у второй последний?

В представлениях можно подключать стили CSS, через которые меняется отображение (колонка 70%).
У каждого представления может быть свои стили.
Если нужно, чтобы были некоторые общие стили и дополнительные, нужные только для этой страницы, используют что-то типа буферизирования вывода блока стилей.

<?php
class Assets
{
    public static $cssLinks = array();
    public static $css = array();

    // добавить ссылку на файл стилей
    public function addCssLink($link)
    {
        self::$cssLinks[$link] = $link;
    }

    // добавить блок стилей
    public function addCss($name, $css) // $name - это чтобы не дублировались блоки стилей, на всякий случай
    {
        self::$css[$name] = $css;
    }

    public function renderCss()
    {
        foreach(self::$cssLinks as $url)
            echo '<link href="'.$url.'" rel="stylesheet" type="text/css" />';
        echo '<style type="text/css">';
        foreach(self::$css as $css)
            echo $css;
        echo '</style>';
    }
}

# index.php

$assets = new Assets();
// общие стили
$assets->addCssLink('https://cdnjs.cloudflare.com/ajax/libs/twitter-bootstrap/3.3.7/css/bootstrap.min.css');

// ...

$view = new View();
$view->render('page.php', array(
    'username' => $_SESSION['username']
));

# page.php
<?php
/**
 * @var string $username
 */
$assets = new Assets();
$assets->addCssLink('/path/to/my/styles.css'); // ещё один файл стилей
$assets->addCss('h1 { color: red; }'); // или даже что-нибудь микроскопическое, только для этой страницы
?>
<html>
<head>
<?php $assets->renderCss() ?>
</head>
<body>
    <h1>Hello, <?php echo $username ?></h1>
</body>
</html>

И аналогично про JS.

Предположим, у разных городов свой субдомен. Иногда отличается разметка (шаблон, тема). И данные хранятся в разных базах. А программный код общий. В этом случае надо перенастроить соединение с базой в зависимости от города и поменять шаблон. Можно соединять некоторые общие параметры приложения с параметрами, которые зависят от домена.

Пример реализации https://github.com/pvolyntsev/toster_449124
Конфиги в директории config/*.php
Отображение в шаблонах layout/*.php - в конкретной CMS или фреймворке шаблоны переключаются по-другому
Пример работы в public/index.php

Вот по приблизительно такому же принципу на проекте Icons8 выбирается не город, а язык и некоторые другие параметры отображения
https://ru.icons8.com - на русском
https://it.icons8.com - на итальянском
https://icons8.com - по-умолчанию, английский

Ответ на вопрос очень легко гуглится. Это настолько популярная тема, что написано уже килотонны материалов на всех языках. Есть предположение, что Sergey0808 получил вопрос на собеседовании и решил не парить голову. Но судя по ответам, тут только много весёлых ребят, которым нечем было занять пятничный вечер :)

• Факт наличия подстроки preg_match preg_match_all
  
• Поиск подстроки preg_match preg_match_all
  
• Поиск элементов в массиве, содержащих подстроку preg_filter preg_grep
  
• Разбиение строки на части preg_split
  
• Замена подстроки на другую подстроку preg_replace
  
• Замена подстроки с помощью дополнительной функции preg_replace_callback
  
• Замена подстрок с помощью нескольких дополнительных функций preg_replace_callback_array
  

Практические примеры:

• Проверка валидности URL, имейла, чисел, даты, времени
  
• Поиск URL, email, дат, времени в заданном тексте
  
• Удаление HTML тегов или иных шаблонных фрагментов, не несущих ценности
  
• Обрамление URL, имейла, числа, даты, времени дополнительными HTML тегами, к которым позже с помощью JS добавляются виджеты URL, email, календарь. Например - открыть URL в другом окне, добавить в календарь событие на дату
  
• Разбиение строки на части с замысловатым разделителем
  
• Работа различных шаблонизаторов основана на замене регулярных конструкций с помощью preg_replace_callback. Например {{ var }} -> <?php echo $var ?>
  
• Маршрутизация URL в серверных фреймворках - какой код выполнить в зависимости от URL. Например если на сервер пришёл запрос /admin/user/edit/1 - то выполнить код из модуля Admin класса UserController метода editAction с входным параметром "1"
  
  

Можно сделать запрос как ты хочешь, но проще (намного проще) сделать цикл по полученным записям

$i=0;
while($row = $db->get_row($result))
{
   $idvar = "id".(++$i);
   {$idvar} = $row[0];
}

После выхода из цикла у тебя будут переменные вида $id1, $id2, $id3 и так далее

У меня вопрос: а как ты их дальше будешь использовать?

0. Убедитесь в /etc/hosts, что домен learning относится к хосту 127.0.0.1
1. Проверьте вручную через консольную команду curl на том же самом сервере, что http://learning/test/accept возвращает какой-либо ответ
2. Проверяйте логи веб-сервера
access.log - был ли вообще запрос между двумя скриптами
error.log - были ли ошибки
3. В код sendAction() замените код, чтобы увидеть ошибку

if( ! $result = curl_exec($curl)) // чтобы проверить на наличие ошибки CURL или HTTP
{
    trigger_error(curl_error($curl));
}
curl_close($curl);
echo $result; // чтобы видеть результат запроса

4. В коде acceptAction() добавьте код

$receive_data = json_decode($json,true);
if (json_last_error()) // чтобы проверить наличие ошибки декодирования JSON
{
    trigger_error(json_last_error_msg());
}

-------------

А вообще логика вашего скрипта какая?
Я вижу, что
1. Первый скрипт выбирает пользователей из базы (без лимита, это страшно на продакшене)
2. Этот список пользователей посылается запросом из public function sendAction() на http://learning/test/accept в формате JSON
3. Этот JSON декодируется и передаётся в $this->view->users
4. ... зачем?

-----------

Уточнённое решение

На одном сервере получить JSON и показать через шаблон

class TestController
{
    public function showAction()
    {
        $json = file_get_contents("http://learning/test/users"); // получить данные со второго сервера
        $users = json_decode($json, true);
        $this->view->users = $users; // передать в представление
    }
}

На втором сервере выбрать данные из базы и выдать в формате JSON

class TestController
{
    public function usersAction()
    {
        $users = Users::find(); // получить из базы

        // подготовиться к выдаче ответа в формате JSON
        $this->view->disable();
        $response = new \Phalcon\Http\Response();
        $response->setStatusCode(200);
        $response->setJsonContent($users);
        $response->setContentType('application/json', 'UTF-8');
        return $response;
    }
}

По идее первый должен показать то, что хранится в базе в таблице user на втором сервере