En realidad usando mysql_real_escape_string, estas evitando el sql inyection. htmlspecialchars lo que hace es convertirte los caracteres de especiales. Te sugiero mejor usar mysql_real_escape_string solo y cuando vayas a mostrar en la pagina usar htmlentities para convertir todos los caracteres especiales. Así cuando vayas a hacer una busqueda en la base de datos, busques conforme a como el usuario ingreso en ella y no busque con los caracteres convertidos.