Tengo que agregar datos a una BD y después desplegarla en un input, el código quedaría algo así:

Esta variable que surge de una consulta en la BD, ya ha sido es capada con mysql_real_esc..., hasta aquí perfecto, pero si la variable escapada tenía doble comillas, el contenido quedaría así

Para resolver esto había pensado usar sólo htmlspecialchars( ), o sea, reemplazar mysql_real_escape_string( ) por está última, pero mi duda es:
¿con esto pierdo seguridad a la hora de una inyección en la base de datos?
Cualquier sugerencia será agradecida, saludos.