Revisas que usuario y contraseña solo contengan números y letras, sin embargo, estás olvidando la seguridad que brinda una contraseña que contenga caracteres especiales, y haces hash con md5, cuando actualmente se recomienda usar blowfish.

En mi opinión (y es sólo eso, una opinión) si usaras PDO con consultas preparadas y hash en blowfish, sería mucho más seguro.

Además, no estaría mal si quieres evitar ataques por fuerza bruta, que revises la ip del usuario, para evitar que de una misma ip intenten entrar con diferentes usuarios.