mysqli_real_escape_string() REQUER você tenha uma conexão ativa/estabelecida com o banco de dados. Já que você está fazendo o m_r_e_s() call ANTES de conectar, você simplesmente retornará boolean FALSE para significar falha. Então você está destruindo seus valores "citados". Valores falsos booleanos inseridos em uma string são convertidos em strings vazias, então suas consultas começam a parecer
SELECT ... WHERE username=''
^---see the boolean false in there?
Sua sequência de código deve ser:
session_start();
connect_to_db();
prepare_variables();
do_query();
E já que você está usando o mysqli, por que você está escapando manualmente das variáveis de qualquer maneira? Você pode simplesmente usar uma instrução preparada + espaços reservados e ignorar completamente o problema.
