Ипатьев

Ну уж для такой-то простой функции должно быть достаточно написанного на странице документации.
И, в частности, про ENT_QUOTES ;)

Эта функция заменяет спецсимволы, которые являются управляющими в контексте HTML, на безобидные HTML-сущности. Вот и всё.
Чисто визуально управляющие символы будут выглядеть так же, как и должны, но в коде не будут представлять ни малейшей опасности.

Для XSS важно, будут ли экранироваться одинарные кавычки или нет, если одинарные кавычки используются для ограничения атрибута.

Разумеется, лучше всего сделать применение функции универсальным, чтобы не проверять кавычки каждый раз, и не обливаться холодным потом, если кавычки вдруг поменяются. И использовать ENT_QUOTES всегда.

К счастью, РНР уже позаботился о вас и ваших друзьях. Начиная с версии 8.1, флаг ENT_QUOTES ставится по умолчанию. И приведенный выше пример будет работать только на устаревших версиях. Так что ручное добавление уже уходит в область легаси-практик.

Чтобы не ломать пальцы, каждый раз набирая всё это htmlspecialchars ENT_QUOTES, толковые джуны всегда пишут пользовательскую функцию-макрос, типа

function esc($var) {
    return htmlspecialchars($var, ENT_QUOTES);
}

Правда, надолго с этой функцией не задерживаются, потому что она годится только при обучении. А любой проект сложнее, чем домашняя страничка про любимого котика, в обязательном порядке уже должен для вывода использовать специальный шаблонизатор, например Twig. Где весь вывод идет с помощью специального оператора, который уже по умолчанию экранирует HTML

<input value="{{$name}}"> Не важно. Все уже проэкранировано до нас

Важно помнить, что это экранирование работает только в контексте HTML.
Если выводим данные внутри кода яваскрипт, то htmlspecialchars поможет как мертвому припарки. И в этом случае надо использовать json_encode.

Ну и разумеется, надо не забывать комбинировать все варианты экранирования.
Например, код яваскрипт, который пишется в атрибут HTML тега, надо весь целиком экранировать c с помощью htmlspecialchars. А данные для этого кода - c с помощью json_encode:

<button onclick="<?= htmlspecialchars("window.open(".json_encode($name).")", ENT_QUOTES) ?>">

В этом примере три переменных содержат по одной букве "в". поэтому этот код выводит 3.
Чтобы вывести 1, надо убрать букву "в" из содержимого двух переменных

Если надо узнать, содержимое какой переменной равно в, то тогда это и проверять, без всяких substr_count

$count_a = $id1 === "в";

Сессии сами не создаются, их создает РНР при обращении к сайту.
Сколько обращений - столько сессий.

Соответственно, смотреть надо по двум направлениям
1. проверить, не долбит ли кто-то запросами, и заблокировать или ограничить, например использовать Rate Limit у NGINX
2. файловая система - самое убогое хранилище для сессий, и используется по умолчанию только потому, что для всех других нужно указывать параметры подключения. Соответственно, вместо файлов использовать базу данных.

Плюс надо смотреть по коду. Если сайт создает сессию на откровенно мусорный запрос, то, возможно, этого не стоит делать. Ну и нельзя сбрасывать со счетов гениальных скриптописателей, которые сами себе создают нагрузку на сайт. Не раз и не два я видел любителей инклюдить локальные файлы по HTTP.

В ответе выше написана чушь.
Написать такой парсер можно за 10 минут.
Плюс готовых парсеров формул в интернете - как грязи.
И если на курсах не совсем идиоты, то их интересует именно написание парсера, а никакой не eval.

Возможные причины
1. В БД нет такого пользователя.
2. Недостаточная длина поля под хэш.
3. Ошибка при выполнении запроса.
4. При регистрации в базу вместо нормального хэша пишется какая-то ерунда.

Не добавляются данные в таблицу phpmyadmin?

Специально для тех, кого интересует этот животрепещущий вопрос и персонально для Максим Ткачев.

print_r($result,true); - это бред обкуренного жирафа. Эта строчка не выводит вообще ничего.
Про функцию print_r надо забыть, она была нужна только в 4 версии РНР.

Чтобы вывести любые данные, полученные курлом, надо использовать обычное echo
Предварительно задав CURLOPT_RETURNTRANSFER
А если что-то ещё не выводится, или выводится не так, то надо смотреть, где ещё в коде написан бред.

Можно
Только слово "текущий" надо заменить на "существующий".

Если текст содержит HTML теги, которые должны выводиться как есть, то его не надо обрабатывать функцией, которая преобразует теги в HTML сущности.

Если же вопрос про обработку данных перед их записью в БД, то надо задать себе вопрос, какое отношение функция htmlspecialchars имеет к базе данных.

Логика - это просто незаменимый инструмент для программиста.

Безотносительно к проблеме с неизвестно откуда берущимся кодированием, чем не устроил вариант
simplexml_load_file($url);

Мысль совершенно правильная.

Современные высокоуровневые языки и системы управления данными чаще всего скрывают большую часть алгоритмов от пользователя, предоставляя готовое решение для большинства выполняемых операций.
Плюс, большинство прикладных задач практически не требуют знакомства со сложными структурами данных и алгоритмами.
Плюс мощность современных компьютеров очень часто прощает программисту ошибки и неоптимальные решения.

Поэтому большая часть классических алгоритмов, все эти пузырьки со вставками, имеют скорее академическую ценность. И с психологической точки зрения только затрудняют обучение. Всегда сложнее учить сферического коня в вакууме, не подкрепленного практическими задачами.
Но с другой стороны, все эти вещи развивают мозги, дают базу, которая потом, в дальнейшем, при переходе к более сложным задачам, сможет пригодиться.

Поэтому я бы рекомендовал их все равно изучать, но в качестве не основного, а факультативного материала.