Алексей Скахин

Мне кажется единственно нормальным вариантом обертки - этот

$db->query('INSERT INTO `users` VALUES (?n, "?s", "?i", "?s")', null, 'Иван', '25', 'г. Клин, ЗАО "Рога и копыта"');

Все остальные варианты извращение над SQL, который итоговый не видно.
+ Если это настоящий prepared statement, то кавычки вокруг параметров не нужно:

$db->query('INSERT INTO `users` VALUES (?n, ?s)', 1, 'Иван');

Воспользуйтесь сервисами декодирования, пример: habrahabr.ru/sandbox/89607

Вывод ссылки скорей всего в самом шаблоне, приложите код tempalte.php

Вот этот код выводит название раздела:

<td class='firstCol'><?=$arResult['INDICATOR_NAMES'][$arElem['SECTION']]?></td>

Добавьте проверку раздела тут и сделайте жирным.

<td class='firstCol'><?if($arElem['SECTION'] == 2620) {?><b><?=$arResult['INDICATOR_NAMES'][$arElem['SECTION']]?></b><?} else {?><?=$arResult['INDICATOR_NAMES'][$arElem['SECTION']]?><?}?></td>

Почему не написать так:

SELECT SUM( t.ts_inserted - t.ts_cleared ) secs
FROM table t
WHERE t.device_id = ?
AND ? BETWEEN t.ts_cleared AND t.ts_inserted

А что, если настроить самбу на web-сервере и ввести в домен?
А потом попробовать законнектиться стандартно http://php.net/manual/en/function.sqlsrv-connect.php ?

Разные кодировки приложения и БД? Почему еще не используется bindValue, если есть возможность, а подставляется прямо в запрос параметр?

Создать еще одного пользователя БД или настроить права у существующего.
Сделать, чтобы он не имел прямого доступа к таблице (select, update, insert, delete).
Сделать view для получения данных и процедуру для внесения данных (или триггер на view, если позволяет СУБД).
Это обеспечит единый вход к данным. В триггере или процедуре можно так же добавить логирование или более сложную проверку прав доступа к определенным столбцам таблицы.

Добавьте или удалите исключение в обработки адресов: www.ваш_сайт.ru/bitrix/admin/urlrewrite_list.php?lang=ru