SKEPTIC

Как уже многие писали - не стоит сейчас писать самому что-то уже давно реализованное по лучшим практикам. Как минимум стоит использовать PDO или же ORM.
А еще лучше использовать все это вместе с каким-нибудь популярным фреймворком по типу Laravel. Там уже все реализовано: от аутентификации и авторизации до запросов к сторонним API.

Если же хотите что-то свое написать без фреймворков - то по безопасности ничего конкретного нельзя посоветовать. Есть определенные правила, которых придерживаются большинство разработчиков.

- использовать на сайте SSL
- пароль в базе нужно хранить в хешированном виде.
и т.д.

Самые распространенные угрозы описаны в OWASP TOP 10. Почитайте на досуге.

Хешировать пароль на клиенте тоже правильно. Задача сервиса не только запретить доступ к сервису злоумышленникам, но и сохранить пароль клиента в тайне. Передавая пароль на сервер в открытом виде, пусть даже и по защищенному соединению, можно его отдать злоумышленникам. Как минимум запросы могут логироваться, и пароль в открытом виде будет храниться в логах. Злоумышленник может завладеть каким-либо образом доступом к серверу и украсть пароли тысяч или миллионов пользователей. Или же встроить в PHP скрипт определенный код, который будет пароли передавать на удаленный сервер (при владении доступом к серверу бекэнда).

Да, можно высунуть наружу только балансер или фронтэнд, а бекэнды держать без доступа к внешней сети. Но а если злоумышленником является разработчик/сотрудник, который может вытащить данные из этого сервера?

Хеширование пароля на клиенте является хорошей практикой. Facebook делает что-то похожее. В таком случае ни владелец сервиса, ни злоумышленник не смогут получить доступ к открытому паролю пользователя. Это защитит другие учетные записи пользователя (если он использует один пароль или главную часть пароля в других сервисах).

И там и там.

Если хранить только в редисе то есть вероятность что что-то пойдет не так и редис потеряет все данные, т.к. все-таки оперативная память не самое надежное место хранения данных. В таком случае пользователь будет вводить верный код, а в ответ получать сообщение о том, что код неверный. Тогда пользователь будет думать что разработчики дауны и сервис полный кал. По себе говорю. Это самое бесящее что может быть. Это из разряда капчи на яндексе, которую ты приходишь верно, а тебя вертят на шапмуре.

Поэтому редис в таком случае должен выступать в роли кеша. Если в редисе нет данных о коде смс, то мы идем в мускул для того чтобы убедиться в том что данных о коде смс нет в нашей системе.

Такое часто делают с токенами аутентификации. Пишут и в базу и в кеш. Сначала лезут в кеш. Если в кеше нет данных - бегут в базу. Если уже и в базе нет данных о токене - посылают пользователя в баню. Если данные в базе все-таки есть - то пользователь пропускается и данные из базы заносятся в кеш для того чтобы в следующий раз не нагружать субд и доставать данные прямо из редис.

Используй подготовленные запросы или ORM и не парься.

А так да. Защиту от инъекций нужно на все запросы делать.

Мускул рвет коннект по таймауту если нет запросов.

Есть 2 решения.

1. Пинговать сервер простыми мусорными запросами раз в какой-то промежуток времени.

2. В конфиге увеличить значение таймаута. Вот тут описано как это сделать на linux тык

Сервак бесплатный можно взять в любом облаке, которое предоставляет бесплатный триал (гугл, маилру, яндукс, амазон, микрософт)

Касаемо софта то тут лучше всего самому все ставить, либо же использовать всякие там докеры и прочее что упрощает жизнь.

Пыха 8.0 fpm, nginx, mysql.

А если не шаришь вообще че да как то бери fastpanel.

Может ты все-таки сам переведешь что написано около этих полей, хотя бы через гугл или яндекс переводчик?