Не е нужно да избягвате знака на долара. MySQL не третира този знак специално и PHP го разпознава само в изходния код, а не в стойностите на низове (освен ако не извикате eval
на струната, но това е съвсем друга кутия с червеи).
Ще трябва само да избягате от %
и _
ако сте използвали въвеждане от потребителя като аргумент за LIKE
и не искате потребителят да може да използва заместващи знаци. Това може да се появи, ако обработвате формуляр за търсене. Не е необходимо да го използвате, когато съхранявате в базата данни.
Не е необходимо да използвате htmlspecialchars
при достъп до базата данни. Това трябва да се използва само когато показвате данни на потребителя в HTML страница, за да се предотврати XSS инжектирането.