mydarck

Проверять по useragent и просто не отображать банальным if
Но тут есть подводные камни.

без уникального id не получиться, просто это может быть data-атрибут, иначе как понять какое именно модальное окно показать пользователю? Мы делаем так - все кнопкам которые открывают модалки даем data-id="1", data-id="2" и так далее, и точно так же размечаем сами модалки общий wrapper и конкретно окно с data-id, после клика проверяем data-id и показываем модальное окно с соответствующим data-id. Вместо data-id и цифр может быть что угодно, например data-popup="one"

150 уникальных посещений в день не такая уж большая нагрузка даже для MODx Revo.
Проверьте на всякий случай не завелась ли у вас какая-нибудь гадость.

У loftblog неплохие видео

на хабре помню всплывала очень интересная статья по этому вопросу, там советы дизайнеру именно о том, как готовить дизайн для верстальщика. Там в статье был особый упор на сетку и на то, чтобы верстальщик сразу видел в комментариях код, с помощью которого можно все сделать на css.
UPD. Во, нашел, статья на подобии этой была - habrahabr.ru/post/175083

20 «НЕ» для веб-дизайнеров
habrahabr.ru/post/52019

К слову, Sketсh 3 инструмент позволяет создавать дизайны, которые более приятны верстальщикам.

а пока, что по поиску гугла нашел
- habrahabr.ru/sandbox/41405
- habrahabr.ru/post/173271
- habrahabr.ru/post/159141
- habrahabr.ru/post/197588
- habrahabr.ru/post/145295

Кроме js вы пробовали только php, и этот горький опыт заставил вас остановить свой выбор на js? Не стоит на таком примере делать выводы обо всех других языках. В сфере профессионалов принято не подыскивать новые задачи под единственный известный язык, но, наоборот, подбирать (и изучать при необходимости) язык исходя из стоящих задач. Прежде чем останавливать свой выбор на каком-то конкретном языке или стеке технологий вам нужно сначала определиться с тем кругом задач, о области которых вам интересно работать, и потом подходить к выбору инструментов для решения этих задач. Все зависит от того что вас интересует: web-разработка, фронтэнд, бекэнд, десктопные приложения или мобильные, разработка игр, больше/меньше заниматься пользовательским интерфейсом, может быть, системное программирования?

Я читал книгу HTML5 и CSS3. Разработка сайтов для любых браузеров и устройств автор Бен Фрейн

Как вариант - добавляете get параметр в url, который появляется в зависимости от действий пользователя, а в sortBy вызываете сниппет, которые будет обрабатывать эти get-параметры, и в зависимости от параметров выводить DESC или ASC.
Есть еще tvFilters для getResources, смотрите в ту сторону.

Очень сильно упрощенно, без ООП и паттернов):
Авторизация:

session_start();
if (!empty($_SESSION['user_id']))
	die('Вы уже авторизованы');
	
$user = get_user_by_login($_POST['login']);
if (!$user)
	die('Пользователь не найден');
	
if ($_POST['pass'] !== $user['pass'])
	die('Неверный пароль');

$_SESSION['user_id'] = $user['id'];
die('Привет, '.$user['login']);

При этом в куки пользователя запишется session_id, а в сессию user_id.

Проверка:

session_start();
if (empty($_SESSION['user_id']))
	die('Нет прав');

$user = get_user_by_id($_SESSION['user_id']);
if (!$user || !$user['active'])
{
	unset($_SESSION['user_id']);
	die('Нет прав');
}

Выход:

session_start();
unset($_SESSION['user_id']);

Если нужен доступ только с одного устройства (последнего, с которого был вход), то храним на сервере последнюю сессию пользователя и при каждом запросе:

if ($user['session_id'] !== session_id())
{
	unset($_SESSION['user_id']);
	die('Нет прав');
}

Если с нескольких, то делать ничего не нужно.

При oauth авторизации через внешние сервисы в сессии и куках будет все то же самое.
В бд добавятся 2 поля auth_provider и auth_provider_id.
В auth_provider у тебя будет vk или fb или google... в auth_provider_id - id пользователя в vk, fb...
Когда юзер нажимает кнопку войти через vk, ты его редиректишь на контакт. Там он что-то делает. Потом контакт его редиректит к тебе с ?code=request_code.
Ты используя code делаешь запрос к api контакта на получение access_token.
Получив access_token, делаешь запрос к api на получение инфы о пользователе. В этой инфе должен быть какой-нибудь уникальный id (auth_provider_id).
Если у тебя нет пользователя с таким auth_provider_id для провайдера vk, то создаешь его либо без логина, либо генерируешь что-нибудь, без пароля.
Если пользователь был создан или он был до этого, помещаешь в сессию user.id и считаешь пользователя авторизованным.

PS:
По каждой строчке ответа есть нюансы, но думаю общая картина такая.
Естественно лучше написать класс для пользователя, чтобы использовать что-то вроде:
$user->is_auth();
$user->auth_by_id($user_id);
$user->unauth();

Есть два варианта хранения данных об авторизованном пользователе:
1) В куки (так по умолчанию используется в асп.нет): необходимые данные (claims) шифруются machineKey и отдаются пользователю в http-only куках, таким образом при каждом запросе на сервер они присылаются, расшифровываются и далее можно проверить в необходимых местах.
плюсы: полностью stateless, нет надобности обращаться к БД
минусы: при необходимости "выбить" сессию со стороны сервера нужно поднимать более сложную логику и хранить флаги в промежуточном хранилище (проверять что если для такого-то пользователя требуется завершить, то такие действия, иначе другие);
2) Ключ сессии: после успешной аутентификации авторизуем пользователя и claims храним на сервере в быстрой памяти или БД (key-value), где ключ - ключ сессии, значение - любые данные.
плюсы: есть полный контроль состоянием авторизации (как и возможность завершить сессию со стороны сервера, так и сменить пользователю роль(или другие параметры) "на лету")
минусы: организация доп. прослойки - кэша или хранение в БД (медленно), при перезапуске/падении сервиса сессии клиентам потребуется перелогиниться.

1
1.1 В куки писать или ключ сессии или шифрованные данные о пользователе, сессия - абстрактное понятие (это пара: ключ и данные), ключ должен быть защищенным, т.е. трудным к копированию (хотя бы зрительно трудно запомнить), уникальным (чтобы не возникло коллизий: двум разным пользователям выдался один и тот же ключ, т.е. это не должна быть хэш-функция от логина-пароля или IP или чего-то неуникального).
1.2 В асп.нет существуют атрибуты авторизации (в которых можно расставлять проверки на требование таковой, роль, конкретный пользователь), в общем смысле логика такова: поступил запрос на сервер, далее нужно посмотреть к какому ресурсу идёт обращение (защищенному или свободному), если ресурс защищен, то проверить куки (ключ сессии или шифрованные данные), расшифровать/получить данные о сессии из кэша и предпринять решение: пускаем или не пускаем (отдаём 401/403 или отдаем 200/404/...).
1.3 Завести на сервере (в кэше или БД) словарь , при алгоритме проверки сессии добавить условие проверки на наличие записи в словаре.
1.4 С нескольких - словаря не нужно.

2
2.1 Даже если пользователь входит через ВК всё равно нужно отдавать свои ключи сессий/шифрованные данные, а вот внутри данных уже хранить access_token от вк-шной сессии, так очень маленькая вероятность, что токен ВК утечет, а если утек ключ сессии, то действия будут ограничены только функционалом сайта.
2.2 После расшифровки куки или данных по ключу сессии делать доп запрос на сервер ВК с токеном, который сохранился при аутентификации (access_token), запрос простой, например получить имя пользователя, если ВК выдал что токен просрочен или ошибку, то сессию закрывать или куки с данными обнулять.

Косяк в кодировке базы, нужно сменить кодировку и в базе, не только в конфиге.
Была такая проблема в evolution, помимо смены кодировки в базе, помогло еще и следующее - modx.im/blog/questions/2636.html