1. Du hast einen Tippfelher drin: Nimm mysqli_query, nicht mysql_query.

2. Der Ort für den richtigen Einsatz von htmlspecialchars ist die Ausgabe an den Browser. Wenn du eine Funktion "Anzahl" schreibst, sollte sie eine Anzahl zurückgeben, also eine Zahl. Was mit der Zahl geschieht, ist Sache des Aufrufers. Vielleicht soll damit gerechnet werden? Der Autor der "Anzahl" Funktion soll das nicht wissen und schon gar nicht vorgeben. Code korrekt auf Funktionen zu verteilen kann sich zu einiger Hirnakrobatik entwickeln 😱.

Rolf