Du behøver ikke undslippe dollartegn. MySQL behandler ikke det tegn specielt, og PHP genkender det kun i kildekoden, ikke i strengværdier (medmindre du kalder eval på snoren, men det er en helt anden dåse orme).
Du behøver kun at escape % og _ hvis du brugte brugerinput som argument til LIKE og du ønskede ikke, at brugeren skulle kunne bruge jokertegn. Dette kan opstå, hvis du behandler en søgeformular. Du behøver ikke bruge det, når du gemmer i databasen.
Du behøver ikke bruge htmlspecialchars ved adgang til databasen. Det bør kun bruges, når du viser data til brugeren på en HTML-side, for at forhindre XSS-injektion.