...Maar bedoel je:
$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out
?
Zoals gezegd in de andere antwoorden (verwijzend naar strip_tags() , maar het is hetzelfde voor mysql_real_escape_string() ), wijzigen deze functies de strings niet rechtstreeks, maar retourneren ze de gewijzigde kopie . Je moet dus retourwaarden toewijzen aan dezelfde (of een andere) variabele!