И какой же пользователь отключит js. Если он не какой-нибудь уникальный.

danik.js,
чет ты херню написал вот в этом участке value="<?= $_GET['product_id'] ?>

В плане экранирования (тут тупо (int) пойдет ) и проверки isset? Ай, ты думаешь у них других дыр и косяков нету чтоли?

Ну и для таких дел шаблонизаторы юзают.

Шаблоном и сделал)

Пора давно на фильтры переходить http://php.net/manual/ru/book.filter.php
К примеру написал себе сахарную обертку используя filter_input и filter_var

static function _($data_name, $params = 'string', $default = null ){}

используешь

echo Filter::_('get.product_id', 'int');

это сойдёт? :)

var get = {};

if (location.search) {
    var c = location.search.substring(1).split('&');
    
    for (var i = 0; i < c.length; i++) { 
        var ar = c[i].split('=');
        
        if (ar[0] != '') {
            get[ar[0]] = unescape(ar[1]);
        }
    }
}

// использование
var query = get['query']; // $query = $_GET['query'];

Да не нужно парсить query строку на клиенте. Че вы как дети то, с первого раза не поймете.

а чем это плох? при работе с ajax бывает полезным

тут можно и slice использовать

Как правило, когда кодеру невдомек что можно сделать проще.