FanatPHP

У таблиц в базе данных нет ни "начала", ни "конца". Поэтому понятие "добавить в конец" не существует в принципе. БД - это не классный журнал.

Любой порядок записи в БД приобретают только при выводе, и если только его явно задать. Во всех остальных случаях записи выводятся втом порядке, который удобен базе.

выбирать все строки, сортировать и выбирать с самым маленьким ID - это как-то трудоёмко)

Так и делать. Только средствами БД.
Открываешь для себя операторы ORDER BY, LIMIT - и вперёд.

Потому что это совершенно разные функции, которые не имеют никакого отношения друг к другу.
Но еще со времен палеолита по похапешным скриптам кочуют плоды не приходящего в сознание индусского гения - функции "очистки" входящих параметров, куда набито всё, что по мнению автора имеет хоть какое-то отношение к безопасности.

И при всем при этом, для входящих параметров ни одна из этих функций не нужна.

- strip_tags это какой-то рудимент. Сейчас практически не используется.
- real_escape_string это вообще совсем из другой оперы. к HTML никакого отношения не имеет. Причем в своей области тоже рудимент и применяться не должна.
- htmlspecialchars единственная осмысленная функция из всех перечилсенных. но должна применяться не для "очистки" при вводе, а при выводе пользовательских данных в HTML

Всё просто.
Надо только понять, что программист работает не с волшебной палочкой, "хочу чтобы результат курла оказался в бд", а с конкретными инструментами.
В твоем случае инструментов 5, два из которых вообще никак не связаны с другими двумя и упоминаться в одном контексте в принципе никогда не должны

Получив в пхп данные через курл, ты дальше забываешь это слово. И учишь новое - json.
Поскольку именно так называется формат, в котором ты данные получил.
Гуглишь "как раскодировать json в php".
Заметь до базы данных мы даже не добрались еще.

Раскодировав джейсон, учишься работать с массивами в пхп и получить из них нужную тебе инфоромацию.
Топиков на тостере вагон, можешь почитать.

Дальше ты забываешь про джейсон и учишься работать с БД. Запрос на вставку.

Дальше учишься работать с ПДО в пхп.

И только после этого соединяешь все три последних элемента - через ПДО выполняешь запрос к базе данных, который записывает имеющиеся у тебя значения массива.

Я в общем согласен с предыущим оратором, что PDO будет попроще в работе, тем более что твои познания в mysqli не сильно отличаются от полного незнания, и в этом смысле разница будет невелика.

Но чтобы в прыжке не переобуваться, вот тебе код для mysqli
в массиве $array лежат твои id товаров

$array = [1,2,3];
$in  = str_repeat('?,', count($array) - 1) . '?';
$sql = "SELECT * FROM `tovar` WHERE `id` = IN ($in)";
$stmt  = $mysqli->prepare($sql);
$types = str_repeat('s', count($array));
$stmt->bind_param($types, ...$array);
$Stmt->execute();
$result = $stmt->get_result(); // get the mysqli result
$data = $result->fetch_all(MYSQLI_ASSOC);

Теперь в массиве $data лежат твои товары.

Для сравнения, код для пдо будет попроще
Плюс, в качестве бонуса, пдо вернет массив, проиндексированный не числами по порядку, а ид товара. Тебе же надо будет как-то совмещать данные из бд с товарами, чтобы перемножить цену на количество.

$array = [1,2,3];
$in  = str_repeat('?,', count($array) - 1) . '?';
$sql = "SELECT * FROM `tovar` WHERE `id` = IN ($in)";
$stmt  = $pdo->prepare($sql);
$stmt->execute($array);
$data = $stmt->fetchAll(PDO::FETCH_UNIQUE);

Суть вопроса абсолютно непонятна.
Термин "вызов "по цепочке" имеет совершенно определенное значение, которое не имеет ничего общего с вызовом нескольких методов подряд. Это сильно сбивает с толку.

плюс абсолютно бессмысленный код, который вообще ничего не показывает, даже пресловутый "вызов по цепочке"

плюс непонятно, в чем конкретно вопрос.
можно ли в start() написать
$this->one()
$this->two()
$this->three()
?

Можно

site:toster.ru php вывести json

Как выглядит и работает фильтрация PHP POST & GET?

Никак.
Я понимаю, что это утверждение не укладывается голове у человека, изучавшего пхп по видеокурсам, но это факт.
Сами по себе НТТР запросы POST & GET никакой угрозы не несут и как-то заранее фильтровать их не надо.

Фильтровать вообще надо не по принципу "откуда", а по принципу "куда".
Данные надо форматировать в зависимости от того, куда они пойдут, а не откуда они пришли. SQL запросу абсолтно фиолетово, откуда взялась кавычка в данных - из GET, файла на диске, или из другой базы данных. Данные для SQL надо правильно форматировать не потому что они пришли из GET, а потому что они идут в SQL.
(При этом надо также понимать, что SQL запрос и база данных - это не одно и тоже. Базе тоже по барабану, что в ней лежит. Любое форматирование мы делаем только для SQL запроса, а в базе данные снова должны быть как есть).

Я думал, что будут удаляться все кавычки и теги,а по факту они остаются.

Если бы все думали, как ты, то ты бы не смог задать свой вопрос на Тостере. Потому что без кавычек и тегов он превратился бы в бессмыслицу. Как и куча любых других вопросов.
Разумеется, "мусор" надо не удалять, а форматировать. Потому что это "мусор" только для SQL, а для человека это нужная информация, которая помогает читать текст.

Не использовать же для этого регулярки?

Нет, разумеется.
Использовать регулярки будет так же глупо, как и твою функцию.

Для того, чтобы поместить переменную в SQL запрос, надо использовать подстановки в подготовленных выражениях. Запомни это предложение. Оно важнее всего, что ты до сих пор успел узнать про пхп. Хорошоенько запомни, ты должен это знать лучше, чем зовут маму с папой. И никогда не отступать от этого правила. Не важно - нужна тебе защита от SQL инъекций или не нужна, из POST-а ли пришли данные, или Господь бог тебе их надиктовал на горе Синайской - все равно всегда и везде только через подстановки.

Поэтому.
1. Выкидываешь свою функцию на помойку. Единственное слово, которое там имеет там хоть какой-то смысл - это trim(). Ну так ты можешь вызывать её напрямую.
2. Судя по уровню кода и вопроса, для работы с бд ты используешь убогую mysqli. Поэтому забудь вообще про mysqli_query(), а все запросы, в которых используется хотя бы одна переменная, выполняешь только так

$stmt = $conn->prepare("INSERT INTO tablitsa (login_name,email) VALUES (?,?)");
$stmt->bind_param("ss", $login, $email);
$stmt->execute();

Подробнее можешь почитать в интернете.
3. При выводе пользовательских данных в HTML, используешь функцию htmlspecialchars(). Надеюсь, к этому моменту ты уже понял главную мысль - важно не откуда пришли данные, а куда. Идут в хтмл? Отлично, форматируем их для хтмл.