Devido à natureza da função base64_encode() (faz com que os dados binários sobrevivam ao transporte através de camadas de transporte que não são limpas de 8 bits), você não precisa escapar de nada!

Os caracteres retornados são [0-9a-zA-Z/]

Mas eu sugiro fortemente que você use a instrução preparada (com mysqli ou PDO). São um pouco mais lentos, mas você não mudará a lógica de higienização toda vez que você lida com uma estrutura de tabela.

E também, não menos importante, talvez no futuro você precise indexar os dados em sua tabela (Talvez para pesquisar com LIKE ou FULLSEARCH).

Seu segundo exemplo está correto (vincule TODOS os seus parâmetros)