Und das kann dir prinzipiell nicht passieren, wenn du mysqli als (Basis-)Klasse verwendest. Denn dann könntest du von der Instanz aus die Methode (real_)escape_string() aufrufen. Wenn du nun, warum auch immer, keine Instanz hast, wird schon das als Fehler beanstandet. Außerdem stehen dir mit mysql die Prepared Statements zur Verfügung, bei denen du gleich gar keine Maskierung mehr benötigst.

Ich werde es mal man ansehen. für mein Aktuelles Projekt wäre es aber zu viel Umstellung.