Rsa97

Для этого есть словари.

Только убрав/изменив заголовок Content-Security-Policy на сайте. Пока этот заголовок присутствует и в нём есть директива connect-src 'self' браузер будет блокировать запросы к любым другим источникам.
P.S. На своём компьютере вы можете использовать DevTools хрома для переопределения заголовка.

Ну, раз подключение в cp1251, то и данные надо передавать в этой же кодировке, а не в utf-8.

update tbl set fio = 'Иванов Иван Иванович'.encode('cp1251')

Естественно, в тексте не должно быть символов, не отображающихся в cp1251, например эмодзи.

Сдаётся мне, что вы запрос выдали через print_r или var_dump вместо json_encode

Лучшее решение - не отправлять спам.

Зависит от конкретной СУБД. Может быть функция PIVOT, а если её нет - колхозить заменяющую процедуру.

no-cors запрещает JS видеть какие-либо свойства Response.
https://evertpot.com/no-cors/

File System Access API

Рабочий JWT в базе не хранится. Он отдаётся клиенту и предъявляется при каждом запросе к серверу. Защитой служит цифровая подпись токена (третий фрагмент), закрытый ключ которой известен только серверу, выдавшему токен.

1. Размер исходников одного из самых распространённых серверов - postfix - около 10 мегабайт. Причём это только SMTP-сервер, для работы с клиентами понадобится ещё POP3/IMAP-сервер.
2. Проблемы, в основном, не с самими решениями, а вокруг них - корректная настройка прямого и обратного DNS, DKIM, SPF, DMARK, спам-фильтров.
3. Абсолютно без разницы, что за сервер - самописный или готовое решение, если он правильно настроен и соблюдает стандарты.
4. Да. Нужен свой делегированный домен и настройка обратного DNS (PTR-запись) у интернет-провайдера.

It depends.
Всё зависит от реализации вашей системы. Нужно ли вообще фронту знать о правах пользователя?
Бэк может авторизовать пользователя при каждом запросе, может сохранить права в сессии, может записать их в JWT. В последнем случае права автоматически будут видны фронту.

Установить пакет php-curl