... Nhưng, ý bạn là:
$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out
?
Như đã nói trong các câu trả lời khác (tham khảo strip_tags() , nhưng nó giống nhau đối với mysql_real_escape_string() ), các hàm này không trực tiếp thay đổi chuỗi, nhưng trả về bản sao đã sửa đổi . Vì vậy, bạn phải gán các giá trị trả về cho cùng một (hoặc một biến khác)!
