Потому что подразумевается, что пришедшим данным нельзя верить, потому что могут быть сфальсифицированы. А фальшивый злонамеренный JS - это уже дыра в безопасности.
Собственно чаще всего в AJAX присылают JSON-данные, на основе которых (такой-то элемент поменять так-то, сделать такой-то алерт) и выполняют необходимые действия на странице. Это конечно тоже можно использовать в злонамеренных целях, но хотя-бы прямого eval() нет...
Во-первых вставлять-вытаскивать не надо, лостаточно разрвать и заново создать соединение. Во-вторых от этого IP адрес не сменится. Проверить можно заходом на страничку https://myip.ru/
Aldadis, однако проще через такой PHP-скрипт, в самом MYSQL нет нужной RegExp функции. Либо, если очень-очень нужно через запрос - то менять все Большие буквы на пробел+Большую, а потом двойные пробелы заменить на одиночный, пробелы в начале текста - отдельным запросом с отрезанием первого символа.
Вторая слева кнопка - это вот она и есть, "выполнить без входа в функцию". Просто вы брэйкпоинт поставьте не на вызове генератора (строка 66), а на строке 65. Или на строке 67, если вам нужно проверить работу onclick-функции, а не её генераци.