Es imposible escapar de forma segura de una cadena sin una conexión DB. mysql_real_escape_string() y las declaraciones preparadas necesitan una conexión a la base de datos para que puedan escapar de la cadena usando el conjunto de caracteres apropiado; de lo contrario, los ataques de inyección SQL aún son posibles usando caracteres de varios bytes.
Si solo está probando , entonces también puede usar mysql_escape_string() , no está 100 % garantizado contra ataques de inyección SQL, pero es imposible construir algo más seguro sin una conexión a la base de datos.
