Дмитрий

В общем для всех ищущих ответ. Каждое правило работает только в своей "юрисдикции", описанной в pattern. Если правило сделать для ^/api, то именно на этом роуте будет работать правило login. А так как я перехожу по ссылкам, не попадающим под правило (главная, например, либо страница логина /login, где, собственно, проходит авторизация), то из сессии не вытягивается токен, подходящий под правило login. Иными словами - firewall'ы работают только там, где вы написали в паттерне, больше нигде

меня смущает экранирование, попробуй убрать обратный слеш
+ Стоит использовать PDO, чем пытаться отловить всё и вся через свои проверки

<button type="submit" id="button">Открыть</button>

function test_modal() {
$('#button').click();
}
test_modal();

или

function test_modal() {
$('#myModal').modal('show');
}
test_modal();

t - алиас.
SELECT * FROM `eps_gallery` `t` WHERE `t`.type = 1 ORDER BY id DESC
И проверить наличие колонки в таблице