Атаки с использованием инъекций происходят при изменении языка программирования / инструкции .Например, от PHP до SQL вам нужно mysqli_real_escape_string для экранирования строки запроса перед обработкой сервером SQL.
Чтобы ответить на ваш вопрос, $results по-прежнему остается переменной PHP, и вам нужно толькоэкранирование непосредственно перед выводом в форму HTML.Большинство людей не делают этого сразу, а некоторые могут даже не выводить в HTML, поэтому функция не требует применения htmlspecialchars автоматически.