Slava Rozhnev

1. Сначала определяемся с требованиями к этому http-серверу, и чем не устраивают существующие решения
2. Выбираем из какого-нибудь компилируемого, более-менее производительного языка, с поддержкой асинхронности и удобной работой с сетью:
Erlang, C#, Go, Rust

В таблице transactions хранить тип транзакции и её id (то есть у вас должно получиться как минимум три колонки id, transaction_type (символьный или цифровой код, как больше нравится), transaction_id). Остальные колонки в зависимости от поставленной задачи. Далее, в зависимости от типа транзакции, делать соответствующий join.

SELECT client
FROM ( SELECT DISTINCT client
       FROM Dep
     UNION ALL
       SELECT client_id
       FROM Contact ) total
GROUP BY 1
HAVING COUNT(*) = 1

Или же я вообще пишу глупость

В целом да. Но

вся эта логика прекрасно будет в index.php лежать?

- это гораздо большая глупость.
Ну то есть лежать-то будет, но к MVC уже никакого отношения не будет иметь.

По пунктам

Юзер не должен принимать в конструкторе логин и пароль.
Вот сейчас эта страница отображает мне двух юзеров помимо меня. Их обоих надо создавать с логином и паролем, серьёзно?

Что такое AuthPage вообще непонятно. Модель, контроллер? По базе проверяет модель, куки пишет контроллер. А здесь какой-то кадавр.

Перед тем как писать авторизацию "в стиле MVC", надо сначала разобраться, что такое модель, что такое контроллер, и что такое вью.

Модель - это вся логика приложения.
Контроллер - это интерфейс для общения модели с браузером. Делает всё, связанное с обработкой НТТР запросов.
Вью - отображение.

Как правильно.

Соответственно в модели должен быть класс User с методом auth(), который принимает логин и пароль и возвращает инстанс класса Юзер.
В конторе делается экшен: отдельный метод, который
- проверяет, если был запрос методом ПОСТ, то берет из него логин и пароль,
- валидирует их, если валидация не прошла, то создает ошибку, которую надо показать юзеру
- если прошла, то вызывает метод auth() модели User, передавая в него логин и пароль
- если совпали, то пишет в сессию ид юзера, и делает редирект куда-нибудь
- если не совпали, то создает ошибку, которую надо показать юзеру
- вызывает вью с формой для логина и пароля

Для регистрации делается еще один экшен, который
- проверяет, если был запрос методом ПОСТ, то берет из него данные для регистрации,
- валидирует их, если валидация не прошла, то создает ошибку, которую надо показать юзеру
- если прошла, то то заполняет класс User данными и выполняет метод save() и делает редирект куда-нибудь
- вызывает вью с формой для регистрации

Для личного кабинета делается третий экшен, который берет из сессии ид юзера, обращается к методу read() модели User и через View показывает личный кабинет

Варианты реализации

Самый простой вариант реализации контроллера - это папочка с отдельными файлами-экшенами. Ничего плохого в такой архитектуре нет, этот этап надо пройти, если раньше так не делали.

То есть папка user в которой есть, скажем, файл index.php который является экшеном личного кабинета.
Он проверяет юзера в сессии, и если нету, то перекидывает на auth.php
в auth.php есть форма и ссылочка на register.php
Все три файла инклюдят в себя файл user.php из папки model, в котором есть функции auth(), register() и profile()

Но в более классическом варианта к трем буквам MVC добавляется ещё одна - R, роутер. Специальный сервис, который разбирает адресную строку, и видя, например, что к сайту обратились по адресу /user/register, создаёт экземпляр класса UserController и вызывает его метод register()

<img src="/img/image.jpg" > этого достаточно для работы на любом домене с любой схемой.
если же реально нужно иметь домен в ссылке, то программно вычислять.

также есть тег base.

в общем все зависит от потребности.

Мне 14, и это лето я решил посветить изучению языка c++, в то время , как мои одноклассники курят, и считают это чем-то крутым.

Молодец, далеко пойдешь.

Я хочу создавать игры на языке c++

Хочешь - делай, все просто. Главное начать, а там по ходу разберешься. В любом случае, сколько бы ты не писал планы и концепции на бумаге - в процессе все 10 раз поменяется.

возможно ли, создать хороший проект одному?

Можно.

И вообще, какой уровень знаний нужен для этого?

Чем сложнее игра - тем больший объем знаний нужен. Для какой-нибудь змейки нужны базовые знания C++. А для создания 3D MMORPG на своем движке понадобится огромный объем знаний.

P.S. Главное получать от процесса удовольствие. Если будешь делать игру, а мысли только о том, что "поскорее бы релиз и заработать денег" - скорее всего ничего не добьешься.

Взламывают точно так же как и мелкие.
В статье описана обычная SQL инъекция, когда данные подставляются прямо в SQL запрос.

Я просто сомневаюсь, что valve может нанять таких людей в backend

Не надо сомневаться.
Нету никаких "особенных способов взлома".
А есть такое явление как "эффективные менеджеры". У которых размер премии зависит от того, сколько денег они сэкономили акционерам.

Если бы там были подготовленные выражения, то и взлома бы не было.
Но вместо подготовленных выражений в больших компаниях есть эффективные менеджеры. Которые экономят на нормальных программистах, и заказывают разработку в Индии, в штате Бангалор. Где живет какой-нибудь Хамишь Кумар, который родился в касте вычерпывателей говна из сортиров. И вот у него только один шанс не черпать говно всю жизнь - всеми правдами и неправдами научиться программировать, путь даже за еду. Сравниваем с силиконовым программером с запросами $250k в месяц. Экономия налицо!

На всякий случай напомню, для стопроцентной защиты от инъекций необходимо всегда следовать двум простым правилам:

1. данные подставляем в запрос только через плейсхолдеры
   
2. идентификаторы и ключевые слова подставляем только из белого списка, прописанного в нашем коде.
   

Ключевое слово здесь - "всегда". Как только начинаются рассуждения вида "ну эти данные и так безопасные, их защищать не надо", то в этот момент мы добавляем инъекцию к себе на сайт. Следует понимать, что защищаем мы не данные, а запрос. Данные нас вообще не интересуют - какие они, откуда пришли, являются "безопасными" или нет. Важно не то откуда они пришли, а то, куда они идут. В SQL запрос? Используем подготовленные выражения, точка.

ltrim($str, '0')

$str = '1234145577';
$mask = '+7(###)###-##-##';
$i = 0;

$result = preg_replace_callback(
    '/#/',
    function ($m) use ($str, &$i) {
        return $str[$i++] ?? $m[0];
    },
    $mask
);

echo $result;

Смешались в кучу кони, люди... зачем внутри циклы, если для вычисления среднего достаточно

<?php
$my = function ($arr)
{
   return array_sum($arr) / count($arr);
};

echo $my(array(1, 2, 3, 4));

Зачем делать две выборки и два SQL-запроса, если всё можно сделать одним SQL-запросом, только нужно правильно составить условие и апдейт.
И ещё, такие операции обычно делают в рамках транзакции

Читаем документацию:

Смысл двух разных вариантов для операторов "and" и "or" в том, что они работают с различными приоритетами (смотрите таблицу Приоритет выполнения операторов).

Открываем таблицу приоритетов, ищем нужные операторы.
&& - 15 строка, = - 19 строка, and - 23 строка.
Переписываем команды с учётом приоритета:
$bool = true and false; => ($bool = true) and false;
$bool = true && false; => $bool = (true && false);

Любая СУБД имеет достаточно мощную систему контроля целостности и непротиворечивости данных. Эта система работает, используя набор правил контроля, описанных в структуре БД, и жёстко следит за тем, чтобы ни одно из правил не было нарушено.

Внешний ключ - это как раз такое правило. Сформулировано оно так: в данном поле таблицы не может храниться значение, которое не присутствует в той таблице, на которую ссылается внешний ключ (rонечно, в зависимости от конкретного текста ссылки внешнего ключа и самого поля тут возможны варианты - например, в этом поле может храниться не только значение, присутствующее в ссылочной таблице, но и NULL). И, имея такое правило, СУБД ни при каких условиях не позволит его нарушить. Любая попытка вставить запись со значением, которого нет в ссылочной таблице, приведёт к ошибке. Любая попытка изменить существующее значение на такое, которого "там" нет - приведёт к ошибке. То же касается и "второй" стороны, СУБД не позволит изменить значение в ссылочной таблице или удалить его (потому что записи в нашей таблице при этом "потеряют" ссылку) - такая попытка корректировки приведёт к ошибке.

Не надо никаких регулярных выражений:

str.split('=').pop()
// или
str.slice(str.indexOf('=') + 1)

Но, конечно, можно и регулярками:

str.replace(/[^=]*=/, '')
// или
str.match(/(?<==).*/)[0]
// или
/[^=]*$/.exec(str).shift()

А вообще, учитывая, чем является эта строка, и что вы хотите из неё получить:

new URLSearchParams(str).get('sort')

Сделать удаленный репозиторий.
Назначить его основным (origin) у себя локально.
Сделать push.

Разумеется, предварительно настроить коннект к своему серверу по ssh.