DB接続なしで文字列を安全にエスケープすることは不可能です。 mysql_real_escape_string() プリペアドステートメントは、適切な文字セットを使用して文字列をエスケープできるように、データベースへの接続が必要です。そうでない場合でも、マルチバイト文字を使用してSQLインジェクション攻撃が発生する可能性があります。
テストのみの場合 、次にmysql_escape_string()を使用することもできます 、SQLインジェクション攻撃に対して100%保証されているわけではありませんが、DB接続なしでより安全なものを構築することは不可能です。