...Aber meinst du:
$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out
?
Wie in den anderen Antworten gesagt (unter Bezugnahme auf strip_tags() , aber es ist dasselbe für mysql_real_escape_string() ), ändern diese Funktionen Strings nicht direkt, sondern geben die modifizierte Kopie zurück . Sie müssen also der gleichen (oder einer anderen) Variablen Rückgabewerte zuweisen!
