1. Mam takie coś:

[PHP] pobierz, plaintext 
if (strlen($_POST['username'] < 3) or strlen($_POST['username'] > 24) {
	$msg = 'Nazwa użytkownika nie może być mniejsza niż 3 znaki i większa niż 24 znaków!<br />';
}
[PHP] pobierz, plaintext 

I wpisuje w formularzu jakąś nazwę, która ma np. 8 znaków i wyrzuca mi błąd co jest w $msg...

A jak wpiszę np. 111 (lub inne cyfry_ to już działa... dlaczego tak się dzieje?

2. Czy zabezpieczenie w stylu:

[PHP] pobierz, plaintext 
strip_tags(htmlspecialchars($zmienna_z_formularza))
[PHP] pobierz, plaintext 

Uchroni mnie przed atakami xss i innymi?

Przypatrz się dokładnie jaki argument przekazujesz do funkcji strlen.

Nie ma sensu dawać strip_tags po wykonaniu htmlspecialchars, bo < i > zamienią się na &lt; i &gt;

Faktycznie, nie zauważyłem tego

I zastanów się też czy nie potrzebujesz mb_strlen