...Mais, voulez-vous dire :
$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out
?
Comme indiqué dans les autres réponses (en référence à strip_tags() , mais c'est pareil pour mysql_real_escape_string() ), ces fonctions ne modifient pas directement les chaînes, mais renvoient la copie modifiée . Vous devez donc affecter des valeurs de retour à la même variable (ou à une autre) !
