Ипатьев

Потому что никто никогда не читает документацию.
В которой написано, например - какой массив возвращает fetchAll(). И можно ли из него получить что-то в виде $user_data['id'].
А ещё в мануале написано, какая на самом деле функция подойдёт в данном случае.

Также, там написано, что делает функция fetchColumn(). Которая, во-первых, делает совсем не то что думает автор кода, а во-вторых, даже если бы и делала, то всё равно здесь никаким боком не нужна.

И я уже не говорю, что в мануале написано темно-красным по светло-красному, что MD5 нельзя использовать для хэширования паролей.

Я значительно переработал этот ответ, поскольку мне самому не нравились некоторые моменты плюс я обратил внимание на конкретные примеры из вопроса.

В первую очередь, не надо путать потоки как принцип, абстракцию, и потоки как конкретную реализацию этого принципа в виде механизма потоков в РНР. При этом даже в этой конкретной реализации есть много нюансов, которые не всегда очевидны. Скажем, врапперы в РНР можно разделить на встроенные и пользовательские. Причем даже встроенные могут значительно отличаться по своей реализации.

Например, когда мы вызываем функцию fopen, то в результате мы получаем ресурс, который в себе содержит дескриптор файла, и далее мы уже можем работать с этим файлом не считывая его полностью в память.
Как я понимаю, через потоки.. но что это за потоки ? где именно про них почитать ? это какие-то механизмы операционной системы ?

Вот даже здесь, поскольку fopen работает поверх абстракции, нельзя говорить о едином подходе.
Если у нас самый простой случай - локальный файл - то РНР оборачивает функции для работы с файлами языка С в свою собственную абстракцию. Но ниже - на уровне этих самых функций языка С - никаких потоков нет. Есть обращение к функциям операционной системы, которые просто позволяют прочитать выбранный кусок файла.
Тут никаких вопросов нет, всё честно - если мы прочитали из файла 5 килобайт - значит потратили ровно 5 килобайт памяти.
Но работаем мы с файлом не считывая его весь в память не потому что поток, а потому что так устроена файловая система. А поток этой возможностью только пользуется.

Если же мы открываем не файл, а URL, то РНР начинает извращаться, пытаясь предоставить те же самые инструменты, какие мы используем для работы с файлами, для доступа к ресурсам совершенно другого типа.
И здесь возможны нюансы. Я не знаю, как реализован HTTP wrapper, но в теории HTTP позволяет чтение произвольного объема данных через заголовок Range:. То есть РНР вполне может читать и из НТТР кусками, а не целиком.

В общем поток - это абстракция. Подход. Интерфейс. Способ работы с массивом информации не забирая её всю в память.
При этом реализация конкретного инструмента, использующего этот подход, может быть совершенно самостоятельной, никак с другими не связанной. Мне кажется, что именно этот момент является для вас камнем преткновения: на техническом уровне это совсем не обязательно одни и те же потоки. Но вполне могут быть.
При этом важно не смешивать сам поток и его получатель (получатель вполне может накапливать всю информацию из потока).

А упомянутый в вопросе PSR-7 вообще никакого отношения к потокам в РНР не имеет. Это совершенно отдельная реализация принципа потоков, которая не имеет отношения к потокам в РНР.

вместо store_result(); надо писать get_result();
этот метод даст вам привычный ресурс, из которого уже можно получить данные обычным способом

$stmt = $link->prepare("SELECT * FROM users WHERE id=?");
$stmt->bind_param('i', $value);
$stmt->execute();
$result = $stmt->get_result();
$row = $result->fetch_assoc();

Ту, в которой перечислить разрешённые символы.
Чёрные списки никогда не работают. Работают только белые.

Все верно, циклом

После того, как освоите эту хитрую премудрость, можно будет поискать функцию, которая внутри себя выполняет цикл, и возвращает сразу нужный массив. Но только в таком порядке - сначала цикл, потом готовая функция.

Ну вроде очевидно же.
И что означает, и что работать не будет.
С AllowDynamicProperties РНР позволяет объекту использовать взятые с потолка проперти, а без этой аннотации - нет.

при чем здесь пример 2 - я не понял. Это же просто типизация.
если бы там было продвижение свойств в конструкторе ,

class C {
    function __construct(public string $name, public string $value) {}
}

то разумеется, это будет работать, поскольку здесь свойства явно объявляются, просто в сокращённой форме

Вопрос неверный. В стиле анекдота "у таракана уши в ногах".
Разумеется, сервер всё прекрасно видит.
чтобы РНР принял null, надо отправить на сервер null. Удивительно, но факт.

var_dump(json_decode('{ 
    "name": ["i", "b"], 
    "val": [null]
}',1));

А вот что там делает код на этом сервере - никто не знает.
И обращаться надо к автору кода. А не в Спортлото

Скорее всего там либо array_filter, либо isset/empty($array['val']);

Для этого очень давно придумали https://en.wikipedia.org/wiki/Common_Gateway_Interface
Фактически это тот же самый cli но на стероидах: перед тем как вызвать бинарник и передать ему на stdin строку с закодированным постом, надо установить несколько обязательных переменных окружения

В составе РНР до сих пор поставляется бинарник php-cgi, который сам всё раскодирует, а так же, в качестве бонуса, сформирует все нужные заголовки ответа.

Пара ссылок:
https://stackoverflow.com/questions/4030147/how-to...
https://www.oreilly.com/openbook/cgi/ch04_02.html

Вопрос очень хороший.
А ответ на него очень простой.

Шаблоны нужны для отделения логики приложения от логики отображения.
Разделив их, мы получим сразу кучу выгод:

• Нормальную структуру приложения, когда вывод начинается только после того, как отработала вся логика. То есть у нас никогда не будет проблем с ошибкой headers already sent, с возвратом json-а вместо html, с выводом в page header-е тех данных, которые появляются только в процессе работы скрипта
  
• Мобильность - один и тот же движок можно будет использовать на нескольких сайтах, меняя только шаблоны, но весь код оставляя одинаковым. Что поможет, в частности, вносить обновления в движок и исправлять ошибки на всех сайтах разом.
  
• Разделение труда - сейчас обычно над отображением работают фронтендеры, то есть, когда бизнес-логика отделена от шаблонов, то любой фронт сможет с ней работать
  

Соответственно, главное, что надо знать про шаблоны - это то, что любой вывод в РНР скрипте начинается только после того, как отработала вся бизнес-логика.
Также важно понимать, что в самом по себе смешивании "кода и разметки" ничего ужасного нет. В шаблоне всегда будет код. Без него невозможно выводить динамический контент. Важно только - какой это код, к чему он относится? Код в шаблоне должен относиться только к самому шаблону. На первых порах новичку сложно это отличить. И это еще один плюс специализированных шаблонизаторов.

После этого есть варианты, которые отличаются в основном удобством работы с кодом шаблона.
Править HTML код записанный в виде РНР строки - это САМЫЙ неудобный .

Дальше идут всякие наколенные решения, типа

бизнес-логика
include header
?>
хтмл конкретной страницы
<?php include footer ?>

или чуть более продвинутый, когда шаблоны хранятся отдельно и могут вкладывться друг в друга. Сначала пишем функцию,

function render_template($filename, array $data = [])
{
    ob_start();
    extract($data);
    require __DIR__ . '/' . $filename;
    return ob_get_clean();
}

а потом в коде страницы пишем

бизнес-логика
...
$page_html = render_template('page.tpl.php', [
    'data' => $data,
]);
echo render_template('main.tpl.php', [
    'navigaton' => $nav_list,
    'title' => $title,
    'page' => $page_html,
];

где сами шаблоны это

...
        <?php foreach ($navigation as $item): ?>
            <li>
                <a href="<?= e($item['href']); ?>"><?= e($item['title']); ?></a>
            </li>
        <?php endforeach ?>

Важно! Любой вывод в этих шаблонах должен экранироваться в обязательном порядке (кроме очевидных случаев, когда мы выводим результат рендера).

Ну и наконец нормальные шаблонизаторы, из которых я горячо рекомендую Twig.
Главное, что про него надо знать - даже самые зелёные нубы осваивают его без затруднений. И настоятельно рекомендую сразу перейти на него, после того как наиграетесь с решениями на коленке.

Насколько я помню сетевые технологии, к которым на самом деле относится вопрос "Можно ли подделать IP адрес", подделать исходящий адрес в TCP заголовке можно. И такой запрос пройдет проверку. Но ответ на него уйдет на этот поддельный IP. То есть соединение оборвется на этапе TCP хэндшейка

Отсюда можно сделать вывод: подделать адрес можно, но это не поможет сделать что-то вредоносное.

Если поставить этому вопросу нормальные теги, а не взятые с потолка, то ответят настоящие специалисты в этом вопросе.

Сначала я вообще ничего не понял, но поразмыслив, разобрался, про что этот вопрос.
И поскольку он повторяет весьма распространённые заблуждения, то будет полезно на него подробно ответить.

Можно ли как-то безопасно сделать такой запрос, который я соберу в строку?

Нет, нельзя.

Это распространённое, но очень смешное заблуждение. Если подумать, то само по себе prepare() ни от чего не защищает. Это не волшебное слово типа "Экспекто патронум!" - написал, и дальше уже можно не париться, оно само как-то магически защитит от инъекций. В реальной жизни таких слов ещё, увы, не придумали. А защищает именно замена актуальных переменных в запросе на знаки подстановки и последующая привязка через bind_param. А prepare просто говорит базе данных ,что запрос еще рано исполнять, это только схема запроса, а данные для него приедут позже.

Я так понял, что если я выполняю $sql = $mysqli->prepare($request), то выполнится только один запрос, который первый, даже, если в него вложен будет второй, пусть я его строкой и засунул.

Это тоже очень распространённое, и очень вредное заблуждение. Запрос выполнится только один, да. Тут всё верно. Но проблема в том, что SQL инъекция - это не один запрос

INSERT INTO students (name) VALUES ('Robert');DROP TABLE students;

, который рисуют в примерах для первоклассников. Инъекция - это любой посторонний код в запросе, вообще любой.

Поэтому собирать в строку надо всё равно запрос со знаками подстановки, а потом его выполнить. Благо, в 5.6 версии пхп появился оператор распаковки параметров, который значительно облегчил эту задачу.

Не хочется использовать лишние переменные и обработку для типов данных

Без переменных тут не обойтись, но вот с типами данных можно не запариваться. Исторически mysql всегда спокойно принимает строки для любых типов данных. Исключений настолько мало, что ими можно пренебречь.

Для запроса, который приведен в примере, код будет относительно простым, поскольку заменяется на вызов IN:

$names = ["Stepan" , "Stiv"];
$in    = str_repeat('?,', count($names) - 1) . '?'; // получаем строку вида "?,?"
$sql   = "SELECT * FROM users WHERE name IN ($in)"; // поставляем её в SQL
$stmt  = $mysqli->prepare($sql); // prepare
$types = str_repeat('s', count($names)); // получаем строку "sss" по количеству переменных
$stmt->bind_param($types, ...$names); // привязываем наш массив
$stmt->execute(); // выполняем
$result = $stmt->get_result(); // дальше всё как обычно
$data = $result->fetch_all(MYSQLI_ASSOC);

Для более сложных запросов принцип будет тот же: собираем строку с плейсхолдерами, а переменные для неё - в массив. И потом выполняем так же через bind_param($types, ...$parameters);, как-то так:

$conditions = [];
$parameters = [];
if (!empty($_GET['name']))
{
    $conditions[] = 'name LIKE ?';
    $parameters[] = '%'.$_GET['name']."%";
}
// любое количество таких условий
if ($conditions)
{
    $sql .= " WHERE ".implode(" AND ", $conditions);
}

и дальше выполняем обычным порядком.

Ну и в завершение, ответим на вопрос из заголовка буквально

Как сделать prepare запрос без bind_params?

Как правильно заметил TheAndrey7 в комментариях, начиная с версии 8.1 можно будет отправить переменные сразу в execute():

$names = ["Stepan" , "Stiv"];
$in    = str_repeat('?,', count($names) - 1) . '?';
$sql   = "SELECT * FROM users WHERE name IN ($in)";
$stmt  = $mysqli->prepare($sql); 
$stmt->execute($names); 
$data = $stmt->get_result()->fetch_all(MYSQLI_ASSOC);