primero, tenemos unos errores lógicos aquí:

la función mysql_real_escape_string no recibe un parámetro por referencia, por lo que no modifica la variable, de hecho, devuelve la cadena filtrada, es decir, debes usarlo así:


además, la condición que usas para saber si el usuario existe es si el resultado de la consulta arroja al menos un registro, y como supongo que almacenas las contraseñas hasheadas, debes de volvwr a aplicar el hash para que funcione: