...Pero, ¿quieres decir:
$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out
?
Como se dijo en las otras respuestas (refiriéndose a strip_tags() , pero es lo mismo para mysql_real_escape_string() ), estas funciones no alteran las cadenas directamente, sino que devuelven la copia modificada . ¡Así que tienes que asignar valores de retorno a la misma (u otra) variable!
