En primer lugar, debe cambiar el mysql_query( ... ) en la línea 9 de su segundo bloque de código publicado en mysqli_query( ... ) , para la consistencia y compatibilidad de la API.
Además, podría tener resultados duplicados si está permitiendo múltiples entradas en la tabla de conversación donde los usuarios A y B pueden ingresarse como usuario1 =A, usuario2 =B en una conversación y usuario1 =B, usuario2 =A en una conversación diferente.
Por último, como Jay Blanchard dicho, debe usar declaraciones preparadas para evitar la inyección de SQL.
