Di quale controllo parli?

Stai application mysql_escape_string() o mysql_real_escape_string() alla string aprima di utilizzarla nella query?

Se vuoi visualizzare l'immagine come HTML, i rischi ci sono per il client (es. XSS), ma comunque che tu applichi htmlspecialchars() prima e html_entity_decode() dopo, il risultato non cambia, per cui tanto vale non applicare htmlspecialchars().