Ипатьев

Эта функция не самописная, а цельнотянутая. Причем из самых смрадных помоек интернета.
К защите от инъекций не имеет вообще никакого отношения.

- trim() ни к инъекциям, ни к защите отношения не имеет
- stripslashes() просто бессмысленная функция, которая только портит данные
- htmlspecialchars() не имеет отношения к SQL. Применяется при выводе данных, а не при получении
- real_escape_string() - единственная функция, которая имеет отношение к SQL, но при этом вообще не предназначенная ни для каких защит.

Попробуйте на основании этой информации самостоятельно оценить полезность вашей функции.

Возьмем классический пример

$_GET['id'] = '1;DROP TABLE Students;';
$id = formatstr($_GET['id']);
$sql = "SELECT * FRPM Students WHERE id=$id";

И посмотрим, помогло ли ваше самописное экранирование предотвратить хоть что-то (спойлер: нет).
(да, та функция, которую лично вы используете для выполнения запросов, выполняет только один запрос за раз. И вместо инъекции вы получите ошибку. Но это не отменяет сам факт получения инъекции.)

Как правильно все отметили выше, для защиты от инъекций используются подготовленные запросы, в которых все переменные заменяются на специальные маркеры, и передаются отдельно.

При соединении с БД надо указывать кодировку.
Поскольку на сайте используется юникод, то соответственно указывать надо utf8mb4

А сессии тут вообще не при чем.

У вас в этой таблице лежат данные, закодированные в windows-1251.
Вам надо или перекодировать полученные данные нормально, через mb_convert_encoding(), а не вот это вот недоразумение utf8_encode.

Или лучше всего один раз и навсегда перекодировать данные в БД.
Для этого надо сделать дамп, поменять в нем set names с utf8 на cp1251, и выполнить сначала на тестовой БД
Если данные будут читаться, то выполнить на боевой.

Не очень понятно, что имеется в виду под "скриптом", но однострочник на баше написать можно.
Собственно, задача стандартная, и решение легко находится гуглем, если владеть языком международного общения.

mysql -uroot -N -e 'show databases' | while read db; do mysqldump -uroot "$db" > "$db".sql; done

Если после добавления данные не видны в программе phpmyadmin, то на это может быть три причины:
1. Код добавления вообще не вызывался.
2. При добавлении произошла ошибка.
3. Данные добавились, в одну базу, а результат смотрим в другой.

Причем все три пункта проверить может только сам программист, никакой дядя с форума за него это не сделает.
Дядя с форума может помочь только со вторым пунктом. Рассказав, как отслеживать ошибки правильно. Например, добавив в код следующие строчки:

<?php
# Настройка ошибок
# Для локального сервера
ini_set('display_errors', 1);
# Всегда
error_reporting(E_ALL);
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);

Ну и чтобы заранее избежать самых тупых ошибок, запросы должны быть подготовленными.

Вам же пишут, с двумя восклицательными знаками: InnoDB buffer pool / data size: 128.0M/5.1G
128 метров - это значение по умолчанию. А должно быть 90% памяти, выделенного для БД
И этой памяти должно хватать для всех индексов

Собственно, вот же оно написано вам прямым текстом:

Variables to adjust:
    join_buffer_size (> 256.0K, or always use indexes with JOINs)
    performance_schema = ON enable PFS
    innodb_buffer_pool_size (>= 5.1G) if possible.
    innodb_log_file_size should be (=16M) if possible, so InnoDB total log files size equals to 25% of buffer pool size.

Только если памяти действительно 4 гига, то не надо делать 5.1. 3.5 будет достаточно

Весь код у вас уже есть.
Вам только надо самому решить, чего вы хотите - проверить наличие записей, или выполнить дальнейшие действия.

Код у вас - для второго.
А пытаетесь вы его использовать для первого.

Чтобы проверить, цикл не нужен. Чтобы обработать - КАК вы обойдетесь без цикла?

В принципе, я тут не вижу нужды проверять. Просто запросить, да обработать.
Но если прям жить не можете без проверки, то можно например использовать переменную

$found = false;
foreach($result as $row){
    $found = true;
    $orderId = $row["orderId"];
    // делаете что хотите
}
if(!$found) {
    print 'нет';
}

Если запись может быть только одна, то еще проще

$result = mysqli_query($mysqli, "SELECT * FROM `Order` WHERE status='NEW'");
$row = $result->fetch_assoc();
if ($row) {
    $orderId = $row["orderId"];
} else {
    print 'нет';
}

У меня получилось как-то так

select sum(o.sum), sum(fsum) from orders o left join 
(select order_id, sum(price) fsum from foodcost where order_id in (1,2) group by order_id) t
on o.id=t.order_id 
where o.id in (1,2);

То есть группировать продукты перед джойном.