...Men menar du:
$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out
?
Som sagt i de andra svaren (med hänvisning till strip_tags() , men det är samma sak för mysql_real_escape_string() ), dessa funktioner ändrar inte strängar direkt, utan returnerar den modifierade kopian . Så du måste tilldela returvärden till samma (eller en annan) variabel!