1. La función o método (obvio no podemos adivinar lo que hace exactamente) que mencionas puede no ser responsable de ello, en dado caso debería ser htmlspecialchars/htmlentitites o similares.

2. No, no es normal, al menos debería ser tan normal como lo hayas programado, sencillamente no puede hacer transformaciones a menos que lo hayas indicado en tu programación.

3. Si vas a escapar HTML (así se le llama al codificar entidades, etc.) no hay manera de adivinar la longitud ciertamente, pero tampoco estás obligado a escapar dichas entidades.

Son dos procesos completamente separados para preparar tu entrada, el primero es la limpieza y/o escape de caracteres especiales propios de SQL, no hay ningún motivo para escapar HTML en este paso.

El segundo paso es opcional, que es escapar dicho HTML para que no sea evaluado en el navegador, ¿entiendes la diferencia?

El navegador interpreta HTML, el servidor de base de datos no.

Entonces, ¿para que escapas el HTML al guardar en BD?

Sencillamente innecesario.