U hoeft niet te ontsnappen aan het dollarteken. MySQL behandelt dat teken niet speciaal, en PHP herkent het alleen in broncode, niet in tekenreekswaarden (tenzij je eval aanroept aan het touwtje, maar dat is een heel ander blikje wormen).
U hoeft alleen te ontsnappen aan % en _ als je gebruikersinvoer hebt gebruikt als argument voor LIKE en je wilde niet dat de gebruiker jokertekens kon gebruiken. Dit kan voorkomen als u een zoekformulier verwerkt. U hoeft het niet te gebruiken bij het opslaan in de database.
U hoeft htmlspecialchars niet te gebruiken bij toegang tot de database. Dat mag alleen worden gebruikt als u gegevens aan de gebruiker op een HTML-pagina weergeeft, om XSS-injectie te voorkomen.