...Ale masz na myśli:
$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out
?
Jak wspomniano w innych odpowiedziach (odnosząc się do strip_tags() , ale to samo dotyczy mysql_real_escape_string() ), te funkcje nie zmieniają bezpośrednio ciągów znaków, ale zwracają zmodyfikowaną kopię . Musisz więc przypisać zwracane wartości do tej samej (lub innej) zmiennej!
