Det är omöjligt att säkert undkomma en sträng utan en DB-anslutning. mysql_real_escape_string() och förberedda satser behöver en anslutning till databasen så att de kan undkomma strängen med lämplig teckenuppsättning - annars är SQL-injektionsattacker fortfarande möjliga med flerbytetecken.
Om du bara testar , då kan du lika gärna använda mysql_escape_string() , det är inte 100 % garanterat mot SQL-injektionsattacker, men det är omöjligt att bygga något säkrare utan en DB-anslutning.