Per la sicurezza del sito non serve usare htmlspecialchars(), passa le stringhe a mysql_real_escape_string() è sufficiente questa per il problema di sicurezza che hai in mente tu e non ti stravolge i caratteri.