Use
mysql_real_escape_string() , e não use htmlspecialchars() . O último não é para escape de banco de dados, é para produção de HTML. 
mysql_real_escape_string() , e não use htmlspecialchars() . O último não é para escape de banco de dados, é para produção de HTML. 
