Евгений Ромашкан

Да, это вполне нормально)
Тегов на самом деле не так много, около сотни. Спустя какое-то время практики легко запомните самые частоиспользуемые. Важнее не запомнить теги, а знать когда и какой использовать
+ ваш редактор знает их все, он подскажет, если например забыли точное написание того или иного тега

Когда вы учили в школе дифференциалы, у вас была таблица дифференциалов. Когда учили интегралы - таблица интегралов, которые засматривались до дыр. Весь процесс обучения это постоянное использование каких-то подсказок, потому что все сразу запомнить и начать пользоваться этим - невозможно.

Можно привести миллион примеров из жизни, когда приходится куда-то подсматривать. Это нормально.

Потом вы уже засмотрите эти теги так, что ночью сонным спокойно будете говорить какой тег за что отвечает, но на это нужно время.

file_get_contents получает исходный код страницы, как и задумано.
Вы делаете echo, и выводите этот исходный код в браузер.
Браузер видит html-код и исполняет его, как и задумано.

Что именно вам не нравится, и что вы хотите изменить?

htmlspecialchars

<?php
$homepage = file_get_contents('http://www.google.com/');
echo htmlspecialchars($homepage);
?>

Да, вирусы есть.

то, что вы ищите - usleep

В остальном ваш код доводит до слез этого кота

К примеру на Java пишут банковский софт, в котором учитывают ценные бумаги, и программист закрывает таски, например, создать кнопочку (написать модуль) для списания с баланса реализуемых ценных бумаг по методу ФИФО. А потом появляется новое требование к модулю, чтобы можно было и по методу ЛИФО, а потом решили все переделать по указке бухгалтерии и сделать все по средней себестоимости.

В игре, программист создает кнопочку (пишет модуль) для списания золота с баланса и получения крафтового топора. А потом появляется новое требование к модулю, чтобы кроме золота требовало еще и медь, а может еще и рецепт, а может в зависимости от населения текущего города ставило скидку гномам и надбавку эльфам, а людям по средней себестоимости.

Вы реально считаете, что программирование возможно без этой "мути" ?

Эти функции - какой-то ужас, летящий на крыльях ночи. mysql_real_escape_string - вообще за гранью добра и зла.

Но главное, что я не могу понять - это какое отношение к mysql и mssql имеет функция xss_clean. Ну то есть я даже представить себе не могу, как можно функцию для защиты от xss применять для любых манипуляций c SQL. Это - я не знаю - как положить деньги в презерватив от грабителей. Он же служит для безопасности. Ну вот деньги и будут в безопасности.

По теме: ради всего святого, используйте PDO с подготовленными выражениями. Это сделает ненужной всю эту мышиную возню с регулярками. PDO поддерживает как mysql, так и mssql, так что разница будет только в синтаксисе запросов, а сам код работы с запросами будет один и тот же

$sql = "SELECT TOP 10 * FROM user where mssql.department_id=?";  
$stmt = $conn->prepare($sql);  
$stmt->execute([$_GET['department_id']]); 
$users = $stmt->fetchAll();

$sql = "SELECT * FROM user where mysql.department_id=? LIMIT 10";  
$stmt = $conn->prepare($sql);  
$stmt->execute([$_GET['department_id']]); 
$users = $stmt->fetchAll();

Как можно заметить, в запросах нет ни одной кавычки вообще, что делает сам вопрос про замену бессмысленным.

От XSS же надо защищаться совсем в другом месте, и также без всего этого ужаса

Вы не путаете ORM с DBAL? ORM это не технология замены SELECT * FROM goods WHERE cost < 100.00 на $db->select()->from('goods')->where('cost < 100.00'). ORM это способ задания связи объектов и РСУБД. По сути позволяет абстрагироваться от способа хранения объектов вообще, с лёгкостью переходя от SQL к NoSQL, memcache, файлам или REST/RPC API на удалённом сервере, оперируя на уровне модели (если говорить о MVC и т. п.) простыми plain old objects, а их персистентность отдать контроллеру. Не $db->select()->from('goods'),, не mysql_query('SELECT * FROM goods'), а $goodsRepository->findAll(), а уж будет репозиторий формировать SQL запрос, читать файлы или память, а может стучаться на Гугл и парсить его вывод — его, репозитория, личное дело (а также разработчика(ов), отвечающих за подсистему хранения).

Кроме того ORM, как правило не исключает обращение к БД на уровне произвольных SQL запросов, оно лишь преобразуют результаты этих запросов в объекты модели предметной области (и наоборот), которые ничего не знают (в идеале) о таблицах, WHERE, HAVING и т. п.

ORM это не только инструмент архитектурного разделения областей ответственности объектов и классов приложения, а также инструмент облегчения разделения труда разработчиков: кто хорошо шарит в SQL вообще и особенностях конкретного движка в частности — работает по «ту сторону» ORM, оптимизирует его как хочет, может нормализовывать и денормализовывать, например; кто хорошо разбирается в дебетах и кредитах — работает с plain old objects в терминах предметной области и может вообще ничего не зная об SQL, ему лишь нужно знать, что он всегда может получить объект или их коллекцию обратившись к методам вроде findById() или findAll() и сохранить результат работы методом save() или flush().

Немного банальностей:
1. Бизнес не даст ресурсов на переписывание проекта с 0: время и большие риски
2. Бизнесу как правило все-равно какое говно там крутится, лишь бы деньги приносило.
3. Если более-менее адекватное руководство - нужно донести идею постепенного рефакторинга кода по мере необходимости в процессе фикса багов и разработки новых фич и тем самым аргументировать что на разработку новых фич/фикс багов нужно больше времени.

Как я бы делал:
1. Тесты на существующие функции (если возможно, видел методы в контроллерах с мешаниной вызовов методов моделей, созданием DTO и сохранением их через репозиторий, прямых http-запросов и запросов в бд на 1000+ строк, покрыть такое тестами - невозможно)
2. Составить план рефакторинга, где отметить что и где надо сделать, коротко, в основном для команды разработчиков.
3. Постепенно рефакторить старый код по мере взаимодействия с ним.
4. Новый код - писать сразу правильно, для взаимодействия со старым кодом где нет возможности/времени его переделать - делать какие-то адаптеры, что бы не распространять токсичный код.
5. Как оперативная мера защиты от SQL иньекций можно поставить что-то вроде этого https://github.com/nbs-system/naxsi
6. Мониторинг кода, который не используется - pinba.org , по мере обнаружения такого кода - удалять безвозвратно (в крайнем случае есть VCS, я надеюсь). Начать с более высокоуровнего кода - контроллеры, напримерю. Плюс IDE в этом могут помочь и grep.
7. Как вариант - новые фичи можно пилить в отдельном проекте (v2), крутить оба и постепенно переходить на новый, со временем старый (v1) выкинуть (и начать делать новый - v3 :-) )

Youtube -- очень дешево и очень сердито, многие курсы уже полностью выложены