Det er umuligt sikkert at undslippe en streng uden en DB-forbindelse. mysql_real_escape_string() og forberedte sætninger har brug for en forbindelse til databasen, så de kan undslippe strengen ved hjælp af det passende tegnsæt - ellers er SQL-injektionsangreb stadig mulige med multi-byte-tegn.
Hvis du kun tester , så kan du lige så godt bruge mysql_escape_string() , det er ikke 100 % garanteret mod SQL-injektionsangreb, men det er umuligt at bygge noget mere sikkert uden en DB-forbindelse.