Sí, entiendo que alguien colocó un tutorial con estos pasos y no es que te de resultados adversos, si no que el uso de mysql_real_escape_string sobre una cadena proveniente de md5 es un paso innecesario, ya que aún si te colocan código sql u otro dentro del campo password, al pasar por md5 perderá todo potencial malicioso, y si esta función la aplicas por cada usuario que hace login, cuando tengas muchos usuarios será un consumo extra de recursos.