Ипатьев

Вы пытаетесь работать с CSS как с шаблоном - для этого нужно использовать препроцессор CSS такие как Sass, Stylus, Less.
Если у вас учебный проект, то это отдельная глава или даже раздел для набивания навыков и шишек.
Если проект боевой и довольно простой, то можно не ввязываться в дебри динамической генерации стилей, условится, что статичные свойства стилей вы записываете в файлах CSS, а динамические - в html вставками:

<style>
  .user-114__avatar
{
   background-image: url({{thumbnail}});
}
</style>
...
<!-- какие-то общие стили для аватара прописаны в классе user__avatar в файле css, а изменяемые прямо в HTML-->
<div class="user__avatar user-114__avatar">
</div>

или инлайн-стилями:

<!-- какие-то общие стили для аватара прописаны в классе user__avatar в файле css, а изменяемые прямо в инлайн-атрибуте тега-->
<div class="user__avatar" style="background-image: url({{thumbnail}});">
</div>

PS: Тег img некорректно использовать без src, фон в нем может выступать только дополняющим свойством, например, закрывать прозрачные участки картинки src. И с фоновым изображением придется работать по-другому, чтобы привести в порядок адаптивность элемента.

Вам уже подсказали, создаёте файл в директории /tmp/session-var.txt, записываете туда значение перемен...

Стоп, а не проще это значение просто вписать в index.php, или какой там у вас PHP-файл грузится первым?...

Как создать

Написать в текстовое поле нужные буковки, циферки и закорючки.

как проверить

Отрендерить значение где-нибудь.

Ни к тому, ни к другому MySQL не имеет абсолютно никакого отношения.

А какой диалект SQL?
Для MySQL нужна кодировка колонки utf8mb4.

https://www.google.ru/search?q=php+create+xml
https://www.google.ru/search?q=php+create+xml+from...

function get_car_url($url) {
  global $dbh;
  $query = $dbh->prepare("SELECT * FROM `cars` WHERE `name_url` = ?");
  $query->execute([$url]);
$car = $query->fetch(PDO::FETCH_ASSOC);
  if (!isset($car['id'])) {
    http_response_code(404);
    include('my_404.php');
    die();
  }
  return $car;
}

$q = mysqli_prepare($connection, "INSERT INTO `user_value` (`user_name`, `user_pass`) VALUES (?, ?)");
$q->bind_param("ss", $user_names, $user_pass);
$q->execute();

run php code online

Для такой конструкции нужно возвращать инстанс класса из каждого метода

<?php
class FOO {
	public function bar() {
		echo "Method bar called" . PHP_EOL;
		return $this;
	}
	public function baz() {
		echo "Method baz called" . PHP_EOL;
		return $this;
	}
}

$foo = new FOO;
$foo->bar()->baz();

php execute online

class Foo {
  public function bar() {
    //  …
    return $this;
  }
  public function baz() {
    //  …
    return $this;
  }
  public function value() {
    //  …
    return 12;
  }
}

$foo = new Foo;
echo $foo->bar()->baz()->value() // 12

Как нужно действовать (в принципе всегда):
1) Проверить что форма срабатывает и делает запрос: открываем консоль разработчика в браузере - нетворк, субмитим форму - смотрим что форма сделала запрос к серверу. Если не сделала - разбираемся в консоли какие ошибки со скриптами и все чиним.
2) В отсылаемом запросе смотрим данные, которые отправляет скрипт, а так же ответ сервера, на предмет ошибок. Если есть ошибки - исправляем.
3) Проверяем данные которые пришли на сервер, делаем var_dump($_POST), смотрим - то ли пришло на сервер. Если что-то не пришло - возвращаемся на фронт и ищем ошибку в хтмл разметке и форме.
4) Правильные данные сначала вставляем в отдельную переменную как строку запроса, а потом передаем ее на выполнение в $mysql->query(). Таким образом перед выполнением запроса можно тем же var_dump() вывести запрос и проверить его визуально на правильность, ну или вставить руками в бд через phpmyadmin или другой инструмент работы с бд. Посмотреть ошибки - исправить.
5) Во всех случаях нужно использовать подготовленные выражения. Код станет на 3 строчки длиннее, но на 90% качественнее.
Профит.

Ни в коем случае не делайте так

cur.execute("""INSERT INTO commands (user_id, date, command_name) VALUES (7 , {} , 'd')""".format(time_now))

Поймаете SQL injection, да и косяков со строками тоже будет немеряно. На один вы уже наткнулись.
Правильно будет так:

cur.execute("INSERT INTO commands (user_id, date, command_name) VALUES (7 , ?, 'd')", (time_now,))

В этом случае передаваемый аргумент будет правильно экранирован, завернут в кавычки и пр.
Это написано в начале документации по модулю sqlite3, но ведь документацию читают только лузеры. правда же?

Уважаемый, Вам нужно изучать основы MySQL. Ваша задача решается одним запросом и 3-мя строками кода.

<?php
  $query = "SELECT  DATE(`time`) `Day`, SUM(`Profit`) `DaylyProfit`
			FROM `history`
			WHERE  `type` = 1 AND `time` > DATE_SUB(CURRENT_DATE, INTERVAL 6 DAY)
			GROUP BY `Day`
			ORDER BY `Day` DESC;";

$result = $mysqli->query($query);

$all = $result -> fetch_all(MYSQLI_ASSOC);


echo json_encode($all);

Test PHP MySQL online