Ипатьев

Важно понимать, что в РНР нет записи условия "одной строчкой".
Тернарный оператор - это не условие. Это оператор, который возвращает определенное значение в зависимости от условия. Если ваш код никакое значение не возвращает, то и тернарный оператор вам не подходит.

Поэтому для приведенного кода ничего сокращать не нужно. Это приведет только к потере читабельности. Которая всегда важнее, чем экономия на строчках.
И вариант с тернарным оператором, и предложенный в комментариях трюк с логическим оператором && только ухудшат читабельность.

Использование конструкции if - это совершенно нормальная практика. И думать, что так пишут только "по-старинке" - это какая-то дурацкая фантазия.

В принципе варианты сократить код всегда есть. Но для этого надо приводить конкретный пример.
А для вот такого общего случая и ответ будет общий - все оставить как есть.

Как вам правильно написали в комментариях, в общем случае ловить исключение надо конечно в сервисе.
Иначе у ваших компонентов будет высокая связанность (copuling) компонентов, а надо чтобы она была наоборот - низкая. "Все, что случилось в Вегасе, осталось в Вегасе".

Если ловить в контроллере, то вы увязываете вместе уже 4 разные сущности:
- внешний сервис
- Газл
- сервис
- ещё и контроллер
Не многовато?
Получается, что контроллер должен что-то там знать про всех троих предыдущих. А он по идее должен знать только про непосредственного собеседника - сервис.
Так что ответ тут в общем случае очевиден.

Также в комментариях вы пишете, что контроллер у вас общается с несколькими сервисами. Это понижает его связность (cohesion). А она наоборот, должна быть высокой. В смысле он должен делать что-то одно.
Поэтому решение, опять же, очевидно - все эти пертурбации с передачей горячей картофелины из сервиса в сервис должны производиться еще одном сервисе. Потому что это безнис-логика. А в конроллере не должно быть бизнес-логики. Контроллер - это чисто брокер НТТР запросов. Принять данные, проверить их, и передать в модель. То есть туда, где пишется бизнес-логика - все эти "сходить в тот сервис, передать в другой и сообщить третьему".

Загадочный webhook - это самый обычный РНР скрипт, который самым обычным образом принимает GET или POST запрос, точно так же, как если бы он был отправлен из браузера.
То есть "проверить, что данные действительно приходят" точно так же: если это JSON POST, то через php://input, если обычный POST - то в $_POST

Весь код у вас уже есть.
Вам только надо самому решить, чего вы хотите - проверить наличие записей, или выполнить дальнейшие действия.

Код у вас - для второго.
А пытаетесь вы его использовать для первого.

Чтобы проверить, цикл не нужен. Чтобы обработать - КАК вы обойдетесь без цикла?

В принципе, я тут не вижу нужды проверять. Просто запросить, да обработать.
Но если прям жить не можете без проверки, то можно например использовать переменную

$found = false;
foreach($result as $row){
    $found = true;
    $orderId = $row["orderId"];
    // делаете что хотите
}
if(!$found) {
    print 'нет';
}

Если запись может быть только одна, то еще проще

$result = mysqli_query($mysqli, "SELECT * FROM `Order` WHERE status='NEW'");
$row = $result->fetch_assoc();
if ($row) {
    $orderId = $row["orderId"];
} else {
    print 'нет';
}

Возможно, речь идет о коде, который я как-то на ходу сочинял здесь для кого-то.
Только понятное дело, весь смысл давно улетучился, и остался голимый, эталонный карго-культ, самолеты из соломы.

Там шла речь о примитивном ORM по паттерну Table Gateway, чтобы упростить и обезопасить базовые CRUD операции.

abstract class BasicTableGateway
{
    protected $db;
    protected $table;
    protected $fields;
    protected $primary = 'id';

    public function __construct(\PDO $db)
    {
        $this->db = $db;
    }
    public function read($id): ?array
    {
        $stmt = $this->db->prepare("SELECT * FROM `$this->table` WHERE `$this->primary`=?");
        $stmt->execute([$id]);
        return $stmt->fetcn();
    }
    public function insert($data): int
    {
        $this->checkFields($data);

        $fields = '`'.implode("`,`", array_keys($data)).'`';
        $placeholders = str_repeat('?,', count($data) - 1) . '?';

        $sql = "INSERT INTO `$this->table` ($fields) VALUES ($placeholders)";
        $this->db->prepare($sql)->execute(array_values($data));

        return $this->db->lastInsertId();

    }
    // и так далее
    protected function checkFields($data)
    {
        $diff = array_diff(array_keys($data), $this->fields);
        if ($diff) {
            throw new \InvalidArgumentException("Unknown field(s): ". implode($diff));
        }
    }
}

То есть идея в том, чтобы определить все имена колонок при создании класса, так чтобы код мог проверять, что нам в ключи массива не насували лишнего

class UserGateway extends BasicTableGateway {
    protected $table = 'gw_users';
    protected $fields = ['email', 'password', 'name', 'birthday'];
}
$userGateway = new UserGateway($pdo);

$data = [
    'email' => 'foo@bar.com',
    'password' => 123,
    'name' => 'Fooster',
];
$id = $userGateway->insert($data);

Получается быстро удобно и безопасно.

Но в текущем варианте удобство, осмысленность и безопасность улетучились, остались только какие-то невнятные идеи.

Пользовательские функции в языках программирования служат для двух целей:
- для того чтобы избежать дублирования кода при частом повторении одних и тех же операций
- для того чтобы код был лучше структурирован, и как следствие - легче читался и его было удобно поддерживать. Когда у нас внутри условия if написано 50 строк кода, это неудобно читать и сложно редактировать. Когда внутри этого же условия всего один вызов функции, то это легко читается, и легко можно заменить на другую функцию.

Функции-хелперы обычно относятся к первой категории. Их традиционно пишут в отдельном файле, который подключается к коду проекта.

Голова дана человеку не только для того, чтобы в неё есть.
А код рекаптчи надо не просто добавить в файл, но ещё и как-то использовать

В своем коде вы получаете $response, но никак не используете. Не останавливаете отправку письма при неверном вводе капчи. А просто продолжаете выполнение кода, который отправляет письмо в любом случае.

На "западном аналогичном этому сайте" только что случайно наткнулся на красивое решение.

$arrdata = array_pad(explode('|', $file[0]), 666, '');

где 666 - это количество колонок, которое должно быть после explode.
array_pad добьёт их пустыми строками. можно поставить нули при желании.

поменять на mysqli_fetch_assoc
а, не
поменять на какое-то $obj_sql->FetchAssoc()

;charset=utf8mb4 в DSN

Можно, но код, который создает БД при ошибке - это глупость.
Так не делают.

Можно создать отдельный скрипт для настройки окружения, который создаст БД и таблицы например.
В этом скрипте просто не указывать 4-й параметр в mysqli_connect.
И дальше просто написать mysqli_query() c запросом создания таблицы.

Но в реальной жизни такие ситуации практически не встречаются.
В отличие от ламерского опенсервера, на реальных серверах никто никогда не ходит в базу под рутом. А у того пользователя, который используется, тупо нет прав на создание БД.

Сгенерировать сильно уникальный токен, что-нибудь вроде random_bytes(16), положить его в БД и в куки

> Как предотвратить несанкционированную авторизацию на случи, если у пользователя украдут cookie?

Никак. В принципе, вся безопасность современного веба завязана на предположении, что куки не украдут. В супер-важных приложениях, типа банковских, можно дополнительно проверять IP адрес, его подделать невозможно. И при смене адреса просить перелогиниться. Но в обычном приложении это будет скорее неудобством.

> Как идентифицировать его, что куки используется не на другом устройстве?

Ну можно по идее запоминать устройство, по user agent. Но это придется отдельно хранить авторизации на всех устройствах. Но если покрадут куки, то уведут и юзер агент.

Причем все это относится и к обычной авторизации, без функции "Запомнить меня". Так что если эти вопросы до сих пор вас не волновали, то и сейчас по идее не должны.