Het is onmogelijk om veilig aan een string te ontsnappen zonder een DB-verbinding. mysql_real_escape_string() en voorbereide instructies hebben een verbinding met de database nodig, zodat ze aan de tekenreeks kunnen ontsnappen met de juiste tekenset - anders zijn SQL-injectie-aanvallen nog steeds mogelijk met behulp van multi-byte tekens.
Als u alleen test , dan kun je net zo goed mysql_escape_string() . gebruiken , het is niet 100% gegarandeerd tegen aanvallen met SQL-injectie, maar het is onmogelijk om iets veiliger te bouwen zonder een DB-verbinding.