FanatPHP

Для того чтобы правильно писать catch, надо писать осмысленный код.

А здесь мы наблюдаем очаровательный пример карго-культа.
Узнав, что "толстый контроллер - это плохо, а сервисы - это хорошо", автор небрежным движением руки замел весь мусор под ковёр перенёс весь код из контроллера в "сервис". Ну а что? Контроллер худой, весь код в сервисе!
Тот факт, что сама кривая структура проекта осталась, по сути, той же самой, нас не смущает.
Как и то, что сервис вдруг начал выполнять функции НТТР контроллера и кидать почему-то НТТР исключения. Что с этими исключениями делать в случае, если тот же сервис будет вызван из консольной команды - загадка.

Но самое забавное, что при всём при этом контроллер всё равно пытается выполнять работу модели. Казалось бы, какое отношение интерфейс для обслуживания НТТР запросов имеет к транзакциям в базе данных? А вот поди ж ты!

Чтобы сделать этот код осмысленным, контроллеру всё-таки придется потрудиться, и выполнить какую-то работу самому, а не перекладывать на "сервис". А так же отдать модели то что ей принадлежит.

В общем транзакцию перекинуть в createDefault. причём не напрямую, а ещё ниже - в слой для работы с БД. Стартовать транзакцию до валидации данных - это как бы *не совсем логично*, мягко говоря. И в итоге, как по волшебству, весь этот говнокод исчезнет как страшный сон.
При этом в параметрах передавать не НТТР реквест чохом, а осмысленный набор параметров, вынутый предварительно из реквеста!
В частности, если модель сама проверяет права доступа, то и передавать ид пользователя из авторизации.

При этом модель не должна кидать НТТР исключения. Она должна кидать исключения бизнес-логики. Которые контроллер уже может ловить и транслировать в хттп. Но тут видимо уже сложнее, поскольку это ж ларавель судя по всему.

В любом случае, уж catch (Exception $e)-у тут точно не место

Но это если рассматривать твой конкретный случай.
В общем же случае правильный код написал Илья.

То есть внутри трая операции с БД и коммит.
в кетче роллбэк и перевыброс исключения. Только ловить надо Throwable

try {
  DB::beginTransaction();
  // запись в БД
  // запись в БД
  // запись в БД
  DB::commit();
} catch (\Throwable $e) {
  DB::rollBack();
  throw $e;
}

гоподи, не надо никаких апачей, и уж тем более всяких опенсерверов, вампы, мампы и прочей мумбы-юмбы

скачать пхп, распаковать, перейти в папку с пхп файлами, запустить команду
c:\путь куда распакован РНР\php -S localhost:80

Главная вещь, которую надо понимать про исключения, это то что они бывают двух основных видов.
После этого вся обработка становится совершенно естественной и очевидной.

- Error exceptions, или по простому говоря - ошибки. Обычные ошибки при выполнении программы. Обычно код бросает их сам. Решение "обрабатывать все ошибки через set_exception_handler" будет вполне логичным.
- Business logic exceptions - это не ошибка в строгом понимании этого слова, а скорее нормальное поведение программы. Ситуация исключительная, но только для бизнес-логики. Их всегда кидает программист.

И вот просто тупо исходя из того что их два типа, уже можно сказать что единого ответа "где лучше" не существует.
У каждого типа своя логика обработки. Но при этом, как только ты уложил в голове различия, эта логика становится совершенно очевидной:

- Error exceptions почти никогда не ловятся через try-catch, по крайней мере на месте. За исключением редких исключительных ситуаций обработка ошибок производится в единой точке, обработчике ошибок
- Business logic exceptions всегда ловятся через try-catch

Отсюда мы видим, что

- //PDOException при коннекте (эммм... я понимаю что пример, но блин, new PDO в конструкторе репы, серьёзно?ладно, мы сейчас не об этом) - это однозначно ошибка
- //PDOException в запросе - это тоже ошибка, тут два раза думать не надо
- условно пустое имя. Ну вот здесь мы уже переходим в область бизнес-логики. Коду тут без разницы, пустое имя, или полное. Это важно нам - программисту, пользователю.

Но тут есть один, блин, тонкий момент.
Валидация, по сути, пытается разорваться между всеми слоями приложения.
С одной стороны, это функция Сущности (которую ошибочно называют моделью) - проверять валидность своих данных.
С другой - если нам надо донести результаты валидации до пользователя, то как быть с переводами? Тащить в модель переводчик, серьёзно? Ну ок, ладно, возвращаем ключи для перевода. Хотя тоже как-то...
Но вот проверка емейла на уникальность. Её-то где делать?
В Сущности? И тащить в нее соединение с БД?
На уровне БД? А где ловить тогда исключение? В сервисе? И ломиться через несколько уровней абстракции к сырому PDOException? Не вариант.
Или, к примеру, для модели естественно проверять каждое поле отдельно, и кидать исключение. А для пользовательского интерфейса это неприемлемо - надо выдавать все ошибки валидации скопом, а не скармливать по одной.
Вопросы...

Но "где валидировать данные" - это отдельная тема, которая не относится напрямую к вопросу "где ловить ошибки".

В данном случае я предлагаю оставить Сущность Юзер без валидации, а всю валидацию делать в сервисе.

Хотя опять же - в современных фреймворках валидацию (Не будем показывать пальцем, но это был Ларавель) вообще делают еще до запуска контроллера, в миддлвари. Это кстати спорное решение, которое нарушает целостность модели. Если мы обращаемся к модели через другую точку входа, не контроллер, а, к примеру, создаем юзера через командную строку, то нам нужна точно такая же валидация. Запускать команды через мидлварь? В сущности, это мысль... Но всё равно, мы в итоге бизнес-логику размазываем между моделью и точками входа в неё, а это костыль.

И при всём при этом оставлять Сущность Юзер совсем без валидации тоже как-то не комильфо... А если оставлять - то получится по сути дублирование кода.
Вопросы, вопросы...

Но вернемся к нашим баранам, в смысле юзерам.

Начнем с того, что проверка имени на равенство пустой строке или нулю - это какой-то детский лепет (и кстати, почему ноль нельзя? вот у Маска ребеночка зовут X Æ A-12 - почему у кого-то не может быть имя "0.0"?).

Отдельно побурчу насчет empty. Вообще, это один из самых сложных операторов, на нем спотыкаются все поголовно. В частности,

function f($name){
    if (empty($name))...

- это бессмыслица. Звучит, в переводе на русский, немного шизофренически: "пусть у нас будет переменная $name. Если у нас нет переменной $name...". Ну как нет, если мы только что ее в функцию передали?
empty() проверяет переменную на существование И "пустоту". И в данном случае первая проверка будет бессмысленной. Никогда не надо писать бессмысленный код.
Поэтому логичнее будет написать просто if(!$name). Хотя по нынешним временам это тоже говнокод. Что мы имеем здесь в виду? Имя не может быть пустой строкой? Пустым массивом? Нулём? null? false? А true или заполненный массив - это, получается, хорошее, годное имя?
Лучше все-таки четче определять свои претензии. К примеру, проверять длину строки.

У имени можно сделать миллион проверок: Минимальную длину, максимальную длину. Проверить что это строка, а не массив, в конце концов, и не булево значение.
И так по каждому полю.
То есть, по-хорошему, валидация данных на соответствие правилам бизнес-логики - это отдельный большой бизнес!

При этом, по итогам валидации, исключение кидается строго одно, общее для всех ошибок.
Которое мы и ловим в контроллере через трай.

class ValidationError extends Exception{ ... };
 
class User
{
    private string $name;

    public function __construct(string $name)
    {
        $this->name = $name;
    }
}

class UserRepository
{
    public function __construct(PDO $pdo)
    {
        $this->builder = $pdo;
    }
    public function add(User $user): User
    {
        $saved = $this->builder->query('INSERT INTO users (name) VALUES ("user")'); //PDOException
    }
}

class UserSerivce
{
    private UserRepository $repository;
    private Validator $validator;

    public function new(array $data): User
    {
        $rules = [...] ;
        $errors = $this->validator->validate($data, $rules);
        if ($errors) {
            throw new ValidationException("", $errors);
        }
        $user = new User($data['name']); // в принципе, сучность может здесь бросить своё ValidationException
        return $this->repository->add($user);
    }
}

class UserController
{
    private UserSerivce $service;

    public function store(array $data)
    {
        try {
            $user = $this->service->new($data);
        catch (ValidationError $e) {
            // рассказываем юзеру что он дурак
        }
        return redirect()->to('/' . $user->id);
    }
}

Но опять же, в современных фреймворках вручную этот catch не пишут, там уже при вызове контроллера мы либо в роутере, либо в миддлвари, либо еще где у черта в ступе - но, главное, в одном месте, чтобы не писать одно и то же каждый раз, ловим определенные исключения, скажем исключения которые потом сконвертируются в 4хх ошибки НТТР. И вот ошибки валидации тоже можем там ловить.

Как можно заметить, вот весь этот длинный и путанный текст посвящен исключительно ошибкам бизнес-логики.
Поскольку с ошибками кода всё куда проще - единый хендлер тупо их обрабатывает в одном месте, как описано в статье по ссылке @Spartak-2205
За исключением редких случаев, когда они ловятся по месту. Когда ошибка некритичная, или есть сценарий обработки - например, попробовать выполнить то же действие еще раз.

Это очень плохой подход.
Все делается ради красивости, а не для реальной пользы.
FileWriteException может случиться примерно по 100500 разных причин.
НИ ОДНА ИЗ НИХ не будет сообщена несчастному разработчику, который будет пытаться понять, ПОЧЕМУ не получилось файл записать. Ему, как в том анекдоте, будут говорить "слушайте свою песню Валенки!", вместо реального сообщения об ошибке.

Кидать красивости можно на уровне файлового враппера, но при этом обязательно сохранять исходное сообщение об ошибке!

public function write($filename, $data) {
    try {
        file_put_contents($filename, $data);
    } catch (Throwable $e) {
        $e = new FileWriteException($e->getMessage());
        $e->setName($filename);
        throw $e;
    }
}

Ты хочешь написать квери билдер. Практически всё уже написал.
Всего-то надо вместо значений подставлять плейсхолдеры, а сами значения запоминать в переменной.
Общий принцип такой:

class Test {
    protected $where;
    protected $params;

    public function getAll()
    {
        $result=$this->db->prepare("SELECT * FROM table WHERE 1=1 ".$this->where);
        $result->execute($this->params);
        return $result->fetchAll(PDO::FETCH_ASSOC);
    }

    public function byDate($start,$end=false)
    {
        if ($end) {
            $this->where .= " AND data BETWEEN :start AND :end";
            $this->params['end'] = $end;
        } else {
            $this->where .= " date >= :start";
        }
        $this->params['start'] = $start;
        return $this;
    }

    public function byCol($col)
    {
        $this->where .= " AND col = :col";
        $this->params['col'] = $col;
        return $this;
    }
}

$sql = new Test;
$data = $sql->byCol($col)->byDate($start)->getAll();

по-хорошему тут еще должны быть отдельные переменные для самого запроса, для order by, limit и так далее
Но начать можно с такого

Это хороший вопрос, который довольно часто задают новички, поскольку они все поголовно подвержены очень распространенному заблуждению - что опасность заключается в самих данных, и их, следовательно, можно как-то "обезопасить". Что "данные" в приложении - это некий универсальный абстрактный объект, который можно универсально же обработать.

Но если подумать, то ответ становится очевидным: не бывает таких "проверок", которые автоматически делают данные "безопасными".
Поиск таких универсальных проверок - это такая же глупость, как поиск "базовых правил безопасности для человека". Ты встречал кого-нибудь, кто все время носит каску, наколенники, бронежилет и презерватив? Независимо от того, собрался он кататься на роликах, на войну, или на свидание?

Данные не бывают "опасными" или "безопасными" сами по себе.
Всё зависит от контекста.
А любая обработка "просто на всякий случай" тупо испортит данные.
К примеру твоя strip_tags() изуродует математический текст, в котором встречаются символы "больше" и "меньше".

Поэтому и надо форматировать данные перед использованием, в зависимости от конкретного контекста, а не заранее. Используем в SQL? Применяем подготовленные выражения. Используем в HTML? Применяем htmlscpecialchars. Используем в URL? Применяем urlencode. Используем в яваскрипте? Применяем json_encode. И так далее. Тебе уже самому должно быть смешно, глядя на этот набор "базовых проверок", если их накатывать все скопом.

Плюс не надо путать форматирование данных и их валидацию.
Валидация, в принципе, хорошая вещь, но надо понимать что во-первых, она не имеет никакого отношения к безопасности, и не может заменить контекстное форматирование данных, а во-вторых, уж тем более не может быть "универсальной" по определению.

Никак не делать .
Этот вопрос очень часто задают новички, от непонимания базовых принципов

Ид вообще никогда не надо трогать.
Менять ид в базе это все равно что ученикам в классе каждый раз давать новые имена, чтобы они всегда сидели по алфавиту

Либо тебе это поле вообще не нужно, и его надо убрать, либо просто оставь его в покое и никогда не трогай его руками

Ну тут скорее ни одной почти строчки нормальной.

• exit('Ошибка подключения к базе данных!'); дважды глупость. Пользователю сайта не интересно читать, что у тебя сломалось - база данных или деньги на пиво кончились. Как программисту, тебе эта бессмысленная фраза тем более бесполезна, она ничего не говорит о том, ЧТО КОНКРЕТНО сломалось, чтобы ты мог исправить
  
• if ($numRows > 0) { бессмысленный кусок кода
  
• while ($row = $result->fetch_assoc()) { заменяется на $result->fetch_all(MYSQLI_ASSOC)
  
• $this->connect() коннектимся каждый раз, чтобы выполнить запрос, серьёзно?
  
• А когда будет еще один класс, для другой таблицы, снова будешь писать код подключения к БД? И так в каждом?
  
• Почему класс для работы с "позициями" называется DBh?
  
• По сути это не класс, а набор функций. Если ты уберешь красивые слова class и this, то НИЧЕГО не изменится
  
• SQL инъекции кругом
  
• class Handler extends Dbh ВООБЩЕ непонятно зачем
  
  

В общем, как-то так
dbh.php

class Dbh
{
    public $conn;

    public function __construct($config)
    {
        mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
        $this->conn = new mysqli(...$config);
        $this->conn->set_charset('utf8mb4');
    }

    public function preparedQuery($sql, $params, $types = '')
    {
        $types = $types ?: str_repeat('s', count($params));
        $stmt = $this->conn->prepare($sql);
        $stmt->bind_param($types, ...$params);
        $stmt->execute();
        return $stmt;
    }

    public function selectResult($sql, $params, $types = '')
    {
        if (!$params) {
            return $this->conn->query($sql);
        }
        return $this->preparedQuery($sql, $params, $types)->get_result();
    }
    public function selectAll($sql, $params = [], $types = '')
    {
        return $this->selectResult($sql, $params, $types)->fetch_all(MYSQLI_ASSOC);
    }
    public function selectAssoc($sql, $params = [], $types = '')
    {
        return $this->selectResult($sql, $params, $types)->fetch_assoc();
    }
    public function selectRow($sql, $params = [], $types = '')
    {
        return $this->selectResult($sql, $params, $types)->fetch_row();
    }
    public function selectCell($sql, $params = [], $types = '')
    {
        $row = $this->selectRow($sql, $params, $types);
        return $row ? $row[0] : false;
    }
}

position.php
class Position
{
    protected $dbh;

    public function __construct(Dbh $dbh)
    {
        $this->dbh = $dbh;
    }
    // Получаем все позциии из БД и возвращаем их в массиве $output если записей больше нуля
    public function getAllPositions()
    {
        return $this->dbh->selectAll('SELECT * FROM positions');
    }
    protected function addPosition($content)
    {
        $count = $this->dbh->selectCell('SELECT count(*) FROM positions');
        if ($count < 10) {
            $this->dbh->preparedQuery("INSERT INTO positions (content) VALUES (?)", [$content]);
        }
    }
    protected function deletePosition($id)
    {
        $this->dbh->preparedQuery("DELETE FROM positions WHERE id = ?", [$id]);
    }
    //Поиск позиций в БД по столбцу content
    protected function searchPosition($content)
    {
        $content = "%$content%";
        return $this->dbh->selectAll('SELECT * FROM positions WHERE content LIKE ?',[$content]);
    }
}

config.php

return [
      'db' => [
          'host' => '127.0.0.1',
          'username' => '',
          'password' => '',
          'dbname' => '',
          'port' => 3306,
      ],
  ];

handler.php

$config = require 'config.php';
$dbh = new Dbh($config['db']);
$position = new Position($dbh);

switch ($_GET['action']) {
    case 'getpositions':
        $output = $position->getAllPositions();
        echo json_encode($output);
        break;
    case 'addposition':
        $content = $_GET['content'];
        $position->addPosition($content);
        break;
    case 'getsearchpositions':
        $content = $_GET['content'];
        $output = $position->searchPosition($content);
        echo json_encode($output);
        break;
    case 'deleteposition':
        $id = $_GET['id'];
        $position->deletePosition($id);
        break;
    default:
        header("HTTP/1.0 400 Bad Request");
}

Вот за такой код очень хочется бить по голове некоторых местных икспердов, которых хлебом не корми, но дай повыделываться и показать немерянные ум и сообразительность.

В то время как нормальный код должен выглядеть вот так

function reverse_vowels($word) {
    $vowels = [];
    foreach(str_split($word) as $c) {
        if (preg_match('/[ayeiou]/i', $c)) {
            $vowels[] = $c;
        }
    }
    $v = 0;
    $reverse = '';
    for ($i=0; $i < strlen($word); $i++) {
        $is_vowel = preg_match('/[ayeiou]/i', $word[$i]);
        $reverse .=  $is_vowel ? $vowels[count($vowels) - 1 - $v++] : $word[$i];
    }
    return $reverse;
}

который не вызывает вообще никаких вопросов

Плюс по-хорошему можно первый цикл заменить на

preg_match_all('/[ayeiou]/i', $word, $matches);
$vowels = $matches[0];

$query = $db->prepare("SELECT * FROM `followers` WHERE `author_id`=? AND follower_id=?");
$query->execute([$authorsID,$followersID]);

и о чудо! rowCount() внезапно работает!!!!

if ($query->rowCount() > 0) {
      echo 'subscribed';
} else {
      echo 'unsubscribed';
}