Vous n'avez pas besoin d'échapper au signe dollar. MySQL ne traite pas ce caractère spécialement, et PHP ne le reconnaît que dans le code source, pas dans les valeurs de chaîne (sauf si vous appelez eval
sur la chaîne, mais c'est une toute autre boîte de Pandore).
Vous n'auriez qu'à échapper %
et _
si vous avez utilisé l'entrée utilisateur comme argument pour LIKE
et vous ne vouliez pas que l'utilisateur puisse utiliser des caractères génériques. Cela peut arriver si vous traitez un formulaire de recherche. Vous n'avez pas besoin de l'utiliser lors du stockage dans la base de données.
Vous n'avez pas besoin d'utiliser htmlspecialchars
lors de l'accès à la base de données. Cela ne doit être utilisé que lorsque vous affichez des données à l'utilisateur dans une page HTML, pour éviter l'injection XSS.