Hallo MB,

statt filter_var kannst Du übrigens auch filter_input verwenden, um direkt aus $_GET oder $_POST auslesen zu können.

Ansonsten - die verfügbaren Sanitize-Filter tun gewisse dokumentierte Dinge. htmlspecialchars tut andere Dinge. Diese Dinge sind dafür relevant, Daten aus HTML-Kontexten zu holen oder dorthin zu senden.

Für die DB brauchst Du ganz andere Dinge. Die Maskierungsregeln für SQL sind andere als für HTML. D.h. deine Frage zielt in die falsche Richtung. Entweder verwendest Du für den Einbau von Werten in SQL die escape_string-Methode von mysqli (wenn Du mysqli nutzt), oder die quote-Methode von PDO (wenn Du PDO nutzt) oder du verwendest prepared statements.

Rolf