Ist das Konvertieren von Sonderzeichen in HTML-Entitäten bei der Formularüberprüfung und Datenbankabfrage mithilfe von PHP PDO mithilfe vonhtmlspecialchars() Funktion wirklich nötig?

Zum Beispiel habe ich eine Website mit einem einfachen Anmeldesystem, das ungefähr so aussieht wie:

$username = (string) htmlspecialchars($_POST['user']);
$password = (string) htmlspecialchars($_POST['pass']);

$query = $dbh->prepare("select id where username = ? and password = ?")
$query->execute($username, $password);

Hinweis, dass ich neben der fraglichen Funktion auch Typumwandlung verwende. Also, ist das notwendig? Oder ich kann sicher @ verwend$username = $_POST['user']; ?