...Ale myslíte:
$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out
?
Jak bylo řečeno v ostatních odpovědích (s odkazem na strip_tags() , ale je to stejné pro mysql_real_escape_string() ), tyto funkce nemění řetězce přímo, ale vracejí upravenou kopii . Takže musíte stejné (nebo jiné) proměnné přiřadit návratové hodnoty!