strip_tags não funciona

...Mas, você quer dizer:

$user = $_POST["user"]; // Get username from <form>
$user = mysql_real_escape_string($user); // Against SQL injection
$user = strip_tags($user); // Filter html characters out

?

Como dito nas outras respostas (referindo-se a strip_tags() , mas é o mesmo para mysql_real_escape_string() ), essas funções não alteram as strings diretamente, mas retornam a cópia modificada . Então você tem que atribuir valores de retorno para a mesma (ou outra) variável!

Consulta MySQL no formato Code Igniter Active Directory?

Valores que se repetem ao preencher uma JTable

Modelagem de banco de dados para fins internacionais e multilíngues
Conecte-se remotamente ao MySQL na VM do Google Compute Engine
Tabelas Dinâmicas no MySQL
Google Cloud SQL - ERRO 2003 (HY000):não é possível conectar ao MySQL