İleri seviye PHP bilgin yoksa core oluşturma, genellikle makarna kodlamaya döner ve uzun vadede baş ağrıtır.
İlla core yapıyı ben oluşturucam diyorsan Laravel ve Symfony gibi frameworklerin paketlerini kullanmaktan çekinme.
Laravel Eloquent, Symfony Twig, Symfony Route gibi hatta daha gelişmiş paketleri kullan.

Laravel Eloquent kullanıp DB gibi özel sorgular yazmayacaksan (bilmeden) kolay kolay DB açığı bırakmazsın (Doğru PDO kullansanda)
CSRF tokeni güzel planlaman lazım, whitelist bölümü olması şart. Ödeme yöntemleri (stripe, paytr vb) callback döner. Callback bölümlerini whitelist'e almalısındaki gelen isteği CSRF token yok diye kesmesin. Ayrıca CSRF tokenin olayı sayfa açıldığında bir token üretilir (benzersin) istek gönderildiğinde backend tarafında doğrulanır bunu kendinde geliştirebilirsin. Böylece istek dışarıdan mı geldi (axios-post vb), sayfadan mı gönderildi tespit edilir. Basit işlemlerdir puppeteer gibi paketler ile sayfa açılıp, ilgili alanlar doldurulup istek gönderilebilir CSRF hiçbir işe yaramaz.

Benim ilk yaptığım ve sattığım yazılım SMM Paneldi (2018 - Mayıs) Herhalde forumda ilk satışını yapan kişilerden birisiyim.
Güzel yazılım, API / Cron / Ödeme yöntemleri / SMS & Mail entegrasyonları gibi birçok şeyi içerisinde barındırıyor. Hem API kullanıyorsunuz hemde senkronize şekilde dışarıya API sağlıyorsunuz. Ayrıca birkaç farklı API türünü tek sistemden yönetiyorsunuz. İlk kodladığım yazılımdı ama beni çok geliştirmişti.