usalas despues de que el user se autentifique, que sera a traves de un form, digo yo.

$user = $_POST['user'];

$user = RemoveXSS ($user);
$user = mysql_escape($user);

lo unico que hacen es limpiar las variables que llegan mediante POST o GET
de codigo malicioso

por que como se logean tus user, con un form no?