É impossível escapar com segurança de uma string sem uma conexão de banco de dados. mysql_real_escape_string() e instruções preparadas precisam de uma conexão com o banco de dados para que possam escapar da string usando o conjunto de caracteres apropriado - caso contrário, os ataques de injeção de SQL ainda são possíveis usando caracteres de vários bytes.

Se você estiver apenas testando , então você também pode usar mysql_escape_string() , não é 100% garantido contra ataques de injeção de SQL, mas é impossível construir algo mais seguro sem uma conexão de banco de dados.