Отсюда

Blowfish использует в качестве соли не буквально те самые буквы и цифры, которые вы пишете, а воспринимает их как поток бит, закодированный в свой вариант base64. При этом с помощью 22 символов можно закодировать 132 бита ( 22 символа х 8 бит х 3/4 (кодирование в base64) = 132), из которых реально используются только 128. Соответственно, из последнего символа берется только половина бит.

Это в частности означает, что для 16 разных солей хэши будут одинаковые:

thisisahardcodedsaltaO
thisisahardcodedsaltaP
thisisahardcodedsaltaQ
thisisahardcodedsaltaR
thisisahardcodedsaltaS
thisisahardcodedsaltaT
thisisahardcodedsaltaU
thisisahardcodedsaltaV
thisisahardcodedsaltaW
thisisahardcodedsaltaX
thisisahardcodedsaltaY
thisisahardcodedsaltaZ
thisisahardcodedsaltaa
thisisahardcodedsaltab
thisisahardcodedsaltac
thisisahardcodedsaltad

Cудя по всему, blowfish не берет соль как есть, а сначала раскодирует её, использует, а потом кодирует обратно, и при этом кодировании получается первый из возможных вариантов.

Ну уж для такой-то простой функции должно быть достаточно написанного на странице документации.
И, в частности, про ENT_QUOTES ;)

Эта функция заменяет спецсимволы, которые являются управляющими в контексте HTML, на безобидные HTML-сущности. Вот и всё.
Чисто визуально управляющие символы будут выглядеть так же, как и должны, но в коде не будут представлять ни малейшей опасности.

Для XSS важно, будут ли экранироваться одинарные кавычки или нет, если одинарные кавычки используются для ограничения атрибута.

Разумеется, лучше всего сделать применение функции универсальным, чтобы не проверять кавычки каждый раз, и не обливаться холодным потом, если кавычки вдруг поменяются. И использовать ENT_QUOTES всегда.

К счастью, РНР уже позаботился о вас и ваших друзьях. Начиная с версии 8.1, флаг ENT_QUOTES ставится по умолчанию. И приведенный выше пример будет работать только на устаревших версиях. Так что ручное добавление уже уходит в область легаси-практик.

Чтобы не ломать пальцы, каждый раз набирая всё это htmlspecialchars ENT_QUOTES, толковые джуны всегда пишут пользовательскую функцию-макрос, типа

function esc($var) {
    return htmlspecialchars($var, ENT_QUOTES);
}

Правда, надолго с этой функцией не задерживаются, потому что она годится только при обучении. А любой проект сложнее, чем домашняя страничка про любимого котика, в обязательном порядке уже должен для вывода использовать специальный шаблонизатор, например Twig. Где весь вывод идет с помощью специального оператора, который уже по умолчанию экранирует HTML

<input value="{{$name}}"> Не важно. Все уже проэкранировано до нас

Важно помнить, что это экранирование работает только в контексте HTML.
Если выводим данные внутри кода яваскрипт, то htmlspecialchars поможет как мертвому припарки. И в этом случае надо использовать json_encode.

Ну и разумеется, надо не забывать комбинировать все варианты экранирования.
Например, код яваскрипт, который пишется в атрибут HTML тега, надо весь целиком экранировать c с помощью htmlspecialchars. А данные для этого кода - c с помощью json_encode:

<button onclick="<?= htmlspecialchars("window.open(".json_encode($name).")", ENT_QUOTES) ?>">

Если после добавления данные не видны в программе phpmyadmin, то на это может быть три причины:
1. Код добавления вообще не вызывался.
2. При добавлении произошла ошибка.
3. Данные добавились, в одну базу, а результат смотрим в другой.

Причем все три пункта проверить может только сам программист, никакой дядя с форума за него это не сделает.
Дядя с форума может помочь только со вторым пунктом. Рассказав, как отслеживать ошибки правильно. Например, добавив в код следующие строчки:

<?php
# Настройка ошибок
# Для локального сервера
ini_set('display_errors', 1);
# Всегда
error_reporting(E_ALL);
mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);