Виталий Артемьев

Ну уж для такой-то простой функции должно быть достаточно написанного на странице документации.
И, в частности, про ENT_QUOTES ;)

Эта функция заменяет спецсимволы, которые являются управляющими в контексте HTML, на безобидные HTML-сущности. Вот и всё.
Чисто визуально управляющие символы будут выглядеть так же, как и должны, но в коде не будут представлять ни малейшей опасности.

Для XSS важно, будут ли экранироваться одинарные кавычки или нет, если одинарные кавычки используются для ограничения атрибута.

Разумеется, лучше всего сделать применение функции универсальным, чтобы не проверять кавычки каждый раз, и не обливаться холодным потом, если кавычки вдруг поменяются. И использовать ENT_QUOTES всегда.

К счастью, РНР уже позаботился о вас и ваших друзьях. Начиная с версии 8.1, флаг ENT_QUOTES ставится по умолчанию. И приведенный выше пример будет работать только на устаревших версиях. Так что ручное добавление уже уходит в область легаси-практик.

Чтобы не ломать пальцы, каждый раз набирая всё это htmlspecialchars ENT_QUOTES, толковые джуны всегда пишут пользовательскую функцию-макрос, типа

function esc($var) {
    return htmlspecialchars($var, ENT_QUOTES);
}

Правда, надолго с этой функцией не задерживаются, потому что она годится только при обучении. А любой проект сложнее, чем домашняя страничка про любимого котика, в обязательном порядке уже должен для вывода использовать специальный шаблонизатор, например Twig. Где весь вывод идет с помощью специального оператора, который уже по умолчанию экранирует HTML

<input value="{{$name}}"> Не важно. Все уже проэкранировано до нас

Важно помнить, что это экранирование работает только в контексте HTML.
Если выводим данные внутри кода яваскрипт, то htmlspecialchars поможет как мертвому припарки. И в этом случае надо использовать json_encode.

Ну и разумеется, надо не забывать комбинировать все варианты экранирования.
Например, код яваскрипт, который пишется в атрибут HTML тега, надо весь целиком экранировать c с помощью htmlspecialchars. А данные для этого кода - c с помощью json_encode:

<button onclick="<?= htmlspecialchars("window.open(".json_encode($name).")", ENT_QUOTES) ?>">

Считай, что тебе сильно повезло. Джуна да ещё и на такой бэкграунд...
Будешь дураком, если откажешься

Судя по обозначенным минусам - вы уже для себя всё решили.

Я бы посоветовал, тк это первый опыт, всётаки сходить на испытательный, а если все беспокойства оправдаются - со спокойной душой уйти

Зарплата - 500 долларов до испыта, 700 - после.

Есть неиллюзорный шанс, что:
1. К долларам это ни разу не привязано
2. После испытательного так и останется 500.

Дело в том, что позвали меня на позицию Full-stack(junior). Если бы это был фулстек веб(нода+реакт), допустим, скорее всего я бы согласился.

Но тут надо разбираться с любыми технологиями, которые нужны заказчику(компания аутсорс). Мне сразу сказали, что надо будет и с мобилками работать и уметь деплоить и с кубернетисом работать.

Всему можно научиться. Уточняй какой стек и думай, хочешь ли ты в этом развиваться.

Так же из-за специфики работы, пм будет общаться с заказчиком, но будут очень частые случаи, когда надо будет созваниваться с заказчикам, уточнять какие-то моменты + презентовать продукт по результатам работы.

Это норма для небольших компаний.

3.Знакомые опытные ребята говорят, что фулстек джунов не существет и это вообще треш.

Фулстек сеньоров тоже)
Если хочешь жёстко по хардам прокачиваться, то надо более узко специализироваться.

Вообще, вполне можно прямо вот так всё и рассказать начальству, как вы здесь написали.
1. На настоящий момент я закрываю почти все таски на .Net
2. Приставленный к моему проекту PM уже почти не участвует в моём проекте, я справляюсь сам.
3. С момента трудоустройства вопрос о повышении зарплаты не поднимался, кажется пришло время, обычно зарплата пересматривается два раза в год.

Удобный момент любой, вот прямо завтра идите к начальнику и говорите.
Если захотите предварительно получить реальный оффер со стороны, он придаст вам уверенности, и даст последний аргумент, на случай если начальство не захочет повышать зарплату, а так, можете о нем даже не упоминать.

Нет желания блефовать увольнением и жирным оффером из другой компании, так как текущая меня более чем устраивает, да и на данный момент опасно угрожать уходом начальству, так как it пузырь уже сдулся

Ну так а вы не блефуйте, а действительно получите оффер и говорите по существу. Разумеется уважающий себя разработчик не будет махать выдуманным оффером - он реально его получит и будет открыто говорить с текущим работодателем. При этом разумно скинуть какой-то процент от зарплаты в оффере, ну мол "я готов получать тут чуть меньше, т.к. я тоже не хочу менять сейчас работу". Вот и вся история. Либо признайтесь себе, что у вас и так всё неплохо и вам платят подходящие деньги. Перейдите от теории к действию.

но наш сайт не поддерживает его

сделать так, чтобы поддерживал.

В реальных проектах человек, не разбирающийся в сайтостроении, использует CMS.
WordPress, например, весьма популярен, и материалов насчет "как" по нему достаточно.

Из соседеней ветки. Автор - @PavelMerk
Вы можете использовать директиву auto_prepend_file в файле php.ini, чтобы указать файл PHP, который будет автоматически добавлен в начало каждого запрашиваемого файла. Это позволит вам добавить один и тот же файл s.php на каждую страницу вашего сайта.
https://stackoverflow.com/questions/5521817/prepen...

date_default_timezone_set('Europe/Moscow');
$start = new DateTimeImmutable('10.11.2022');
$target = new DateTimeImmutable('05.04.2023');
$interval = $target->diff($start, true);
print $interval->days + 1;
// 147

хрен пойми что вы называете "сторонний портал". Но обычно вы ведете разработку локально в какойто ветке, потом делаете пуш на gitlab/github/bitbucket там делаете например merge (никто не знает что там настроено, но чаще делают так ) и это тригерит CI/CD, котории заливает на сервер измемения и занимается другой магией (миграции, смена прав и тд)