...Men, mener du:
$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out
?
Som sagt i de andre svar (med henvisning til strip_tags() , men det er det samme for mysql_real_escape_string() ), ændrer disse funktioner ikke strenge direkte, men returnerer den ændrede kopi . Så du skal tildele returværdier til den samme (eller en anden) variabel!