En raison de la nature de la fonction base64_encode() (faites en sorte que les données binaires survivent au transport à travers des couches de transport qui ne sont pas propres à 8 bits), vous n'avez rien à échapper !
Les caractères renvoyés sont [0-9a-zA-Z/]
Mais je vous suggère fortement d'utiliser une instruction préparée (avec mysqli ou PDO). Sont un tout petit peu plus lents mais vous ne changerez pas la logique de désinfection chaque fois que vous traitez une structure de table.
Et aussi, non moins important, peut-être qu'à l'avenir vous devrez indexer les données de votre table (peut-être pour une recherche avec LIKE ou FULLSEARCH).
Votre deuxième exemple est correct (Liez TOUS vos paramètres)