El uso de htmlspecialchars() si te fijas en lo que hace dicha función .. una de las cosas que hace es:

'&' (ampersand) se convierte en '&'

No sé que dato guardas en tu BBDD exactamente (le pasas un htmlspecialchars() también al ingresar el dato en tu BBDD? .. NO DEBERíAS!).

En su defecto usa funciones tipo mysql_real_escape_string() a la hora de ingresar tus datos a tu BBDD y cuando los muestres en HTML .. ahí usa htmlspecialchars() . pero NO lo uses para atacar una consulta SQL para hacer una busqueda.

Un saludo,