nokimaro

DBPASS=$(/bin/php -r "include '$SITEDIR/$ELEMENT/$WEB/$DBCONN'; echo \$DBPassword;")

Используйте двойные кавычки
bash переменные внутри выражения пойдут как $VAR а переменные PHP с обратным слешем перед $ - \$DBPassword

Curl
CURLOPT_FOLLOWLOCATION
https://www.php.net/manual/ru/function.curl-setopt.php

Guzzle
allow_redirects
https://docs.guzzlephp.org/en/stable/request-optio...

file_get_contents()
follow_location
https://www.php.net/manual/en/context.http.php

Заключить путь в двойные или одинарные кавычки " или '

Можно добиться того что описали в п.1 если в начале скрипта добавить ob_start();

<?php
ob_start();

echo '123';
header('Content-Type: text/html');
echo '345';

в данном случае ob_start() буфферизирует любой вывод и не посылает его (в обработчик на стороне веб-сервера) до окончания работы скрипта, а все header() отправляются сразу же.

p.s. предупреждаю что приведённый выше пример не рекомендуется к использованию и может привести к появлению трудноуловимых багов. И лучше организовывать свой код так чтобы любой вывод приложения логически шёл в конце, после отправки всех нужных header'ов.

Почему не выставить задержку исходя из доступных мощностей сервера поделённых на кол-во работников на линии?
Сперва измеряем верхнее значение, например максимальный RPS (запросов в секунду) который может держать сервер без сбоев. Предположим это 1000 rps. Далее устанавливаем предельное значение, например 80% от максимального готовы всегда держать под этот вид запросов. Итого имеем 800 rps. Исходя из этого расчитываем задержку для каждого пользователя. Делаем автоматический перерасчёт задержки каждую минуту или через любой подходящий интервал времени.

Идея не такая уж бредовая, как может показаться. Например ВК в своей ленте новостей при высоких нагрузках могут выключать автоподгрузку, и включать кнопку "показать ещё" для того чтобы снизить rps.

Единственный вариант когда это может не подойти, если у вас тарификация и оплата сервера по факту испольуземых ресурсов (iops'ы, cpu time и тд). В остальных случаях если есть сервер - пусть работает на максимум своих возможностей.

preg_match замените на preg_match_all

<?php
$request = Request::instance();
$content = $request->getContent();
$json = json_decode($content);

var_dump($json);

<?php
$content = file_get_contents('php://input');
$json = json_decode($content);

var_dump($json);

Воспользоваться вот этой либой https://github.com/b3none/steam-id-converter
умеет конвертировать в обе стороны
непосредственно функция конвертации выглядит так https://github.com/b3none/steam-id-converter/blob/...

В том виде как описали вы, хэширование не имеет смысла. Но как правило всегда используется 2 идентификатора, скажем тот же api key (открытый ключ) и секретный ключ (secret key). Назваие может меняться, например ID + token или client_id + client_secret
В запросе передаётся только api key, параметры например usrid и сигнатура (хэш). Причём для формирования хэша используется именно секретный ключ, который известен только отправителю и получателю.
Это позволяет предотвратить подмену запросов, так как принимающая сторона может сверить хэш, и в случае чего понять что данные запроса были изменены.

Такой подход часто используется при интеграции с платёжными системами, где после успешного совершения платежа, платёжная система посылает запрос (postback, webhook) на сайт магазина, уведомляя что такой-то платёж успешно завершён.
Например такое уведомление включает в себя параметры order_id, sum, status. Если злоумышленник узнает url на сайте, куда нужно передать параметры, то сможет подделать уведомление от платёжной системы. Тут и вступает в игру механизм для подсчёта контрольной суммы, например md5(order_id, sum, secret_key), и так как secret_key неизвестен злоумышленнику, то подделать такой запрос не удастся.

Как получить список подписок пользователя Instagram?
Как вы сейчас достаете данные Instagram?
Как проскролить страницу или загрузить больше данных на сайте?

без api и авторизации, парсинг веб-версии инсты https://github.com/postaddictme/instagram-php-scraper

В чём проблема выпускать клиентам индивидуальный сертификат через letsencrypt?
Ведь для привязки своего домена к вашему сервису клиенту придётся в A-записях домена указать ip ваших серверов, и значит вы без проблем можете выпустить для каждого домена сертификат.
Так, например, делает github pages где любой может подвязать свой домен, а выпуск и продление ssl серта github берёт на себя.

Каких-то "специальных" сборок нет
Скорее всего коллега не правильно донёс информацию, и речь была про подключение PPA
Так как в 99% инструкций о том как установить последнюю версию PHP на Debian/Ubuntu первым делом подключают ppa:ondrej/php
Ondřej Surý уже лет 15 выпускает пакеты с PHP для Debian.

Конечно стоит ставить PHP 7.4 https://www.php.net/supported-versions.php , так как 7.2 уже прошла End of Life черту, а PHP 7.3 перестанет получать обновления безопасности через 10 месяцев.