Ипатьев

Вопрос очень хороший.
А ответ на него очень простой.

Шаблоны нужны для отделения логики приложения от логики отображения.
Разделив их, мы получим сразу кучу выгод:

• Нормальную структуру приложения, когда вывод начинается только после того, как отработала вся логика. То есть у нас никогда не будет проблем с ошибкой headers already sent, с возвратом json-а вместо html, с выводом в page header-е тех данных, которые появляются только в процессе работы скрипта
  
• Мобильность - один и тот же движок можно будет использовать на нескольких сайтах, меняя только шаблоны, но весь код оставляя одинаковым. Что поможет, в частности, вносить обновления в движок и исправлять ошибки на всех сайтах разом.
  
• Разделение труда - сейчас обычно над отображением работают фронтендеры, то есть, когда бизнес-логика отделена от шаблонов, то любой фронт сможет с ней работать
  

Соответственно, главное, что надо знать про шаблоны - это то, что любой вывод в РНР скрипте начинается только после того, как отработала вся бизнес-логика.
Также важно понимать, что в самом по себе смешивании "кода и разметки" ничего ужасного нет. В шаблоне всегда будет код. Без него невозможно выводить динамический контент. Важно только - какой это код, к чему он относится? Код в шаблоне должен относиться только к самому шаблону. На первых порах новичку сложно это отличить. И это еще один плюс специализированных шаблонизаторов.

После этого есть варианты, которые отличаются в основном удобством работы с кодом шаблона.
Править HTML код записанный в виде РНР строки - это САМЫЙ неудобный .

Дальше идут всякие наколенные решения, типа

бизнес-логика
include header
?>
хтмл конкретной страницы
<?php include footer ?>

или чуть более продвинутый, когда шаблоны хранятся отдельно и могут вкладывться друг в друга. Сначала пишем функцию,

function render_template($filename, array $data = [])
{
    ob_start();
    extract($data);
    require __DIR__ . '/' . $filename;
    return ob_get_clean();
}

а потом в коде страницы пишем

бизнес-логика
...
$page_html = render_template('page.tpl.php', [
    'data' => $data,
]);
echo render_template('main.tpl.php', [
    'navigaton' => $nav_list,
    'title' => $title,
    'page' => $page_html,
];

где сами шаблоны это

...
        <?php foreach ($navigation as $item): ?>
            <li>
                <a href="<?= e($item['href']); ?>"><?= e($item['title']); ?></a>
            </li>
        <?php endforeach ?>

Важно! Любой вывод в этих шаблонах должен экранироваться в обязательном порядке (кроме очевидных случаев, когда мы выводим результат рендера).

Ну и наконец нормальные шаблонизаторы, из которых я горячо рекомендую Twig.
Главное, что про него надо знать - даже самые зелёные нубы осваивают его без затруднений. И настоятельно рекомендую сразу перейти на него, после того как наиграетесь с решениями на коленке.

Насколько я помню сетевые технологии, к которым на самом деле относится вопрос "Можно ли подделать IP адрес", подделать исходящий адрес в TCP заголовке можно. И такой запрос пройдет проверку. Но ответ на него уйдет на этот поддельный IP. То есть соединение оборвется на этапе TCP хэндшейка

Отсюда можно сделать вывод: подделать адрес можно, но это не поможет сделать что-то вредоносное.

Если поставить этому вопросу нормальные теги, а не взятые с потолка, то ответят настоящие специалисты в этом вопросе.

Сначала я вообще ничего не понял, но поразмыслив, разобрался, про что этот вопрос.
И поскольку он повторяет весьма распространённые заблуждения, то будет полезно на него подробно ответить.

Можно ли как-то безопасно сделать такой запрос, который я соберу в строку?

Нет, нельзя.

Это распространённое, но очень смешное заблуждение. Если подумать, то само по себе prepare() ни от чего не защищает. Это не волшебное слово типа "Экспекто патронум!" - написал, и дальше уже можно не париться, оно само как-то магически защитит от инъекций. В реальной жизни таких слов ещё, увы, не придумали. А защищает именно замена актуальных переменных в запросе на знаки подстановки и последующая привязка через bind_param. А prepare просто говорит базе данных ,что запрос еще рано исполнять, это только схема запроса, а данные для него приедут позже.

Я так понял, что если я выполняю $sql = $mysqli->prepare($request), то выполнится только один запрос, который первый, даже, если в него вложен будет второй, пусть я его строкой и засунул.

Это тоже очень распространённое, и очень вредное заблуждение. Запрос выполнится только один, да. Тут всё верно. Но проблема в том, что SQL инъекция - это не один запрос

INSERT INTO students (name) VALUES ('Robert');DROP TABLE students;

, который рисуют в примерах для первоклассников. Инъекция - это любой посторонний код в запросе, вообще любой.

Поэтому собирать в строку надо всё равно запрос со знаками подстановки, а потом его выполнить. Благо, в 5.6 версии пхп появился оператор распаковки параметров, который значительно облегчил эту задачу.

Не хочется использовать лишние переменные и обработку для типов данных

Без переменных тут не обойтись, но вот с типами данных можно не запариваться. Исторически mysql всегда спокойно принимает строки для любых типов данных. Исключений настолько мало, что ими можно пренебречь.

Для запроса, который приведен в примере, код будет относительно простым, поскольку заменяется на вызов IN:

$names = ["Stepan" , "Stiv"];
$in    = str_repeat('?,', count($names) - 1) . '?'; // получаем строку вида "?,?"
$sql   = "SELECT * FROM users WHERE name IN ($in)"; // поставляем её в SQL
$stmt  = $mysqli->prepare($sql); // prepare
$types = str_repeat('s', count($names)); // получаем строку "sss" по количеству переменных
$stmt->bind_param($types, ...$names); // привязываем наш массив
$stmt->execute(); // выполняем
$result = $stmt->get_result(); // дальше всё как обычно
$data = $result->fetch_all(MYSQLI_ASSOC);

Для более сложных запросов принцип будет тот же: собираем строку с плейсхолдерами, а переменные для неё - в массив. И потом выполняем так же через bind_param($types, ...$parameters);, как-то так:

$conditions = [];
$parameters = [];
if (!empty($_GET['name']))
{
    $conditions[] = 'name LIKE ?';
    $parameters[] = '%'.$_GET['name']."%";
}
// любое количество таких условий
if ($conditions)
{
    $sql .= " WHERE ".implode(" AND ", $conditions);
}

и дальше выполняем обычным порядком.

Ну и в завершение, ответим на вопрос из заголовка буквально

Как сделать prepare запрос без bind_params?

Как правильно заметил TheAndrey7 в комментариях, начиная с версии 8.1 можно будет отправить переменные сразу в execute():

$names = ["Stepan" , "Stiv"];
$in    = str_repeat('?,', count($names) - 1) . '?';
$sql   = "SELECT * FROM users WHERE name IN ($in)";
$stmt  = $mysqli->prepare($sql); 
$stmt->execute($names); 
$data = $stmt->get_result()->fetch_all(MYSQLI_ASSOC);

alter table test add key (sec_code, class_code)
и смотреть, уйдёт ли temporary из поля Extra в EXPLAIN

И вообще - в первую очередь смотреть EXPLAIN, а не возиться с этой ерундой.
и убирать using temporary ДО того как временной таблице перестанет хватать места на диске.
Потому что у меня даже и без этой ошибки инфаркт будет, если я увижу такой запрос в продакшен коде.

Для правильного решения этого вопроса, надо освоить две важные концепции. Нет, три.
1. Начать отличать файлы от виртуальных адресов. Не то чтобы это обязательно было причиной, но указывать URL вместо пути к файлу некорректно.
2. Освоить такое понятие, как отладка. Если что-то не работает, то скорее всего пишет ошибки. Ошибки надо обязательно читать, чтобы исправить. Не бывает волшебного кода, который работает вообще всегда, стоит только его "обнаружить на просторах интернета". Любой код может не работать по миллиону причин, от него не зависящих.

Отсюда следует важный вывод: вам не нужно знать, как прикреплять файлы. Вы это и так уже знаете. Вам нужно научиться видеть выдаваемые РНР ошибки, чтобы их прочитать, загуглить, и в итоге исправить.

3. Учить английский. И не просто наобум копировать код, найденный на просторах интернета, но и стараться разобраться - что он делает. Это видно даже из названий функций. И таким образом отбрасывать заведомо нерабочие варианты типа $mail->addAttachment(file_get_contents($path));

Очень правильный вопрос. Разумеется, с таким подходом зайдет кто угодно.

поэтому надо в таблицу users добавить поле autoenter, и если пользователь выбирает автологин, то в него записывать значение bin2hex(random_bytes(16)); и его же записывать в куку.

while ($qty--) {
    echo "<img src={...
}

Перед тем, как писать веб-серверы на C#, надо учиться описывать проблемы не языком домохозяек.

Не существует такой кодировки - "кириллица". Есть конкретная кодировка, которую необходимо указать в вопросе.
Нет такой команды в C# -"послать интерпретатору". Есть конкретная команда или действие, которое надо описать в вопросе.
Нет такой команды - "сказать, что находится по пути". Есть конкретный код, который надо привести в вопросе.
РНР - не посетитель в ресторане, чтобы "отказываться". Это программа. Которая либо работает, либо выдаёт сообщение об ошибке. Которое программист должен прочитать. Или по крайней мере, если не понял в нем ни одного слова, то аккуратно скопировать в свой вопрос.

В целом РНР прекрасно работает с любыми кодировками, которые используются для отображения русских букв, даже с теми адовыми костылями, которые используются в Микрософт Виндоус с середины конца прошлого века по сей день.

Для того чтобы убедиться в том, что РНР прекрасно работает с русскими буквами, надо создать скрипт test.php

<?php
header('Content-Type: text/html; charset=utf-8');
echo hex2bin('d0bfd180d0b8d0b2d0b5d182'); 
// текст UTF закодировн в hex чтобы избежать влияния кривых ручек тестировщика/выкрутасов Виндоус

перейти в папку с ним
запустить встроенный веб-сервер
php -S localhost:8081
и открыть в браузере адрес localhost:8081/test.php

И после этого разбираться с тем, как своя программа на модном языке сишарп не может прочитать русские буквы.

Судя по классической картинке, https://habr.com/en/post/147843/ где-то происходит перекодирование utf-8 -> 866(!)

Сделать первичный индекс на вторую таблицу.

Если ты только в самом начале пути, и единственный вопрос, который тебя при этом заботит - это "а не слишком ли много от меня хотят?", то далеко по этому пути не уйдешь. В этой профессии любой опыт ценен. И возможность получить дополнительные знания - это плюс вакансии, а не минус.
Суть профессии программиста в том, что ты учишься все время. То есть, любые полученные знания - это не вершина, а всего лишь еще одна ступенька. И просто глупо ставить какие-то рамки - "это будем учить, а это уже они много хочут".

При чем здесь самоуверенность - вообще непонятно
Разумеется весь код джуна будет проходить код-ревью, то есть прямо в продакшен никто эту БД заливать не будет.
Но при этом и создавать за него простенькую БД для небольшого сервиса, типа отзывов на товары, никто не будет: такой беспомощный джун никому не нужен. Предполагается, что еще на этапе обучения он уже делал подобные проекты и умеет спроектировать для них БД.

Стандартный способ:

SELECT count(*) FROM shop LEFT JOIN shopData ON shopData.shop_id=shop.id WHERE shopData.shop_id IS NULL

Но следующий способ должен быть быстрее

SELECT count(*) FROM shop WHERE NOT EXISTS (SELECT 1 FROM shopData WHERE shop_id=shop.id)