DevMan

php.net/manual/en/functions.returning-values.php

этот процесс находится в D state - это ожидание ввода/вывода, например у вас была сетевая папка или сетевой диск например по iscsi и его теперь нет, а процесс хотел туда чтото записать. kill -9 тут не поможет, либо восстановить ему возможность ввода вывода либо ребут

Некорректно сравнивать тёплое с мягким. Так и здесь: DBAL, как вы правильно написали - слой абстракции, представляющий единый интерфейс для работы с различными реализациями БД.
ORM - штука, которая позволяет работать с объектами и связями в БД как с сущностями, не заботясь о том, из каких именно таблиц и полей заполняется сущность.

У вышеупомянутой Doctrine тоже есть свой DBAL, но это не мешает ей быть ORM :)

Эти функции - какой-то ужас, летящий на крыльях ночи. mysql_real_escape_string - вообще за гранью добра и зла.

Но главное, что я не могу понять - это какое отношение к mysql и mssql имеет функция xss_clean. Ну то есть я даже представить себе не могу, как можно функцию для защиты от xss применять для любых манипуляций c SQL. Это - я не знаю - как положить деньги в презерватив от грабителей. Он же служит для безопасности. Ну вот деньги и будут в безопасности.

По теме: ради всего святого, используйте PDO с подготовленными выражениями. Это сделает ненужной всю эту мышиную возню с регулярками. PDO поддерживает как mysql, так и mssql, так что разница будет только в синтаксисе запросов, а сам код работы с запросами будет один и тот же

$sql = "SELECT TOP 10 * FROM user where mssql.department_id=?";  
$stmt = $conn->prepare($sql);  
$stmt->execute([$_GET['department_id']]); 
$users = $stmt->fetchAll();

$sql = "SELECT * FROM user where mysql.department_id=? LIMIT 10";  
$stmt = $conn->prepare($sql);  
$stmt->execute([$_GET['department_id']]); 
$users = $stmt->fetchAll();

Как можно заметить, в запросах нет ни одной кавычки вообще, что делает сам вопрос про замену бессмысленным.

От XSS же надо защищаться совсем в другом месте, и также без всего этого ужаса

Такое называется fuzzing
И относится к инфобезу или тестированию на проникновение
Не к юнит тестированию
Юнит тестирование предназначено для выявления проблем при рефакторинге и написании кода в проекте, а не к безопасноти напрямую

Вам же требуется писать код так, чтоб он пропускал только то что прямо указано
Чем строже поле - тем лучше (проще) для вас

Основная задача тестов - позволить вам писать новый код без страха поломать что-то старое

то что вы описали называется двухФазным комитом, раньше очень часто использовался.
сейчас активнее используют похожий но немного другой подход, тоже связанный с тем что резервируют определенные ресурсы (например деньги на счету, и товар на складе) потом проверяют промежуточный статус операции, и потом проводят и подтверждают операцию - разница в том что ничего не перезаписывается а непрерывно все запросы логируется, и любые откаты операции идут через добавление новых записей-запросов в лог (он же и очередь сообщений)
----
там много тонкостей, например вы говорили про время-метки, в целом метки времени добавляют - если нужно контролировать очередность промежуточных шагов (но обычно это не так важно, поэтому метку времени не всегда добавляют), но добавляют уникальный айди операции, тк в случае сбоя запроса (при например длительном ожидания ответа), может произойти "переотправка" запроса, и нам эта метка с уникальным айди позволяет не дублировать одну и туже операцию.
=====
есть тонкости например с тем, каким образом разделены эти микросервисы, может это просто дублирование одного и того же сервиса но например каждый из них обрабатывает запросы от разных сегментов пользователей, поэтому не требуется согласовывать какие-то операции между этими микросервисами.
====
на мой взгляд - это вобще разводные вопросы не имеющие правильного ответа, схемы подбираются конкретно под проект и задачи, тем более если вы не разрабатывали какую-нибудь платежную систему, типа яндекс.денег то вообще бесполезно что-то обсуждать.
это не камень в ваш огород, этим вообще обычно мало кто реально занимается, уверен те кто у вас это спрашивал сами мало что в этом понимают, а спрашивают такие вещи чтоб вас слить.

Да есть, называется OWASP, там есть описание уязвимостей, также как их предотвратить, и каждый год там публикуют топ 10 уязвимостей

Так задайте свои стили для h1.

h1 {
  font-size: 16px; /* ну или что там у вас тут будет; inherit, em, rem */
  font-weight: normal; /* сброс начертания до обычного */
}

Код выше будет работать для всех h1. Если не хотите, делайте более специфичный селектор, опираясь от класса обёртки-родителя, т. е. смотрите вашу разметку.

На всякий пожарный случай:
https://learn.javascript.ru/css-selectors.

P. S. Номинант на премию «Вопрос-ответ года».

GUID

Допустим есть некий API враппер с кодом на github.
Отсутствует на packagist, подключить через composer я его не могу.

да что вы говорите.... RTFM