noeer

Проверяете $_GET['utm_content'], и в зависимости от значения выводите нужный текст.
Но вообще utm метки служат для отслеживания источников трафика...

https://www.php.net/manual/ru/function.strip-tags.php
Вторым параметром передаете строку с тегами, которые не хотите вырезать.
Но обычно такие манипуляции производят перед выводом, а не перед записью.

Для защиты от SQL инъекций нужно параметризировать запросы.

В общем случае как-то так

function isAdmin($login = false, $password = false) {
	global $pdo;
	$stmt = $pdo->prepare('SELECT * FROM `users` WHERE `login` = :login AND `password` = :password');
	$stmt->execute(array(
		':login' => $login,
		':password' => $password,
	));
	if($stmt->rowCount() == 1) {
		return true;
	}
	return false;
}

if($_SERVER['SERVER_NAME'] === 'site.ru'){
	// счетчик для site.ru
}elseif($_SERVER['SERVER_NAME'] === 'site.com'){
	// счетчик для site.com
}

Для форматирования номера телефона используйте функцию

/**
 * Форматируем номер телефона для вывода в ссылке (string)
 * $var - номер телефона (string)
 */
 function phone_link($var){
	$res = preg_replace('/\D/', '', $var);
	$first = substr($res, 0, 1);
	if($first == 7) $res = '+'.$res;
	return $res;
}

Проверять данные от пользователя на серверной стороне.
Как же еще... Это классика.