Hallo,

$sql = sprintf("SELECT id, username, password FROM user WHERE
           mysql_real_escape_string(".$_REQUEST['username']."),
           mysql_real_escape_string(".$_REQUEST['password']."))";

Sollte wohl lauten:
$sql = sprintf
       (
         "SELECT id, username, password FROM user WHERE ".
         mysql_real_escape_string($_REQUEST['username']).
         ",".
         mysql_real_escape_string($_REQUEST['password'])
       );

Bei dir waren die mysql_real_escape_string()-Aufrufe direkt
in den String eingebettet.

Mario