Tengo entendido que mysqli tiene mejor rendimiento que mysql.

Al decir que el nombre de usuario no existe y, por separado, que la contraseña es incorrecta, es casi como una invitación para intentar un ataque por fuerza bruta.

Luego, debo insistir en que debes aplicar un hash a la contraseña y no almacenarla tal cual la tecleó el usuario; si bien, es difícil que alguien obtenga acceso a tu base de datos, si llega a conseguirlo, tendrá a la vista nombres de usuario y contraseñas para ingresar a tu sitio.

No imagino lo que se podrá hacer si uno o más usuarios tienen la misma contraseña en tu sitio y su cuenta de correo.

Finalmente, para comparaciones donde aplicas dos operadores diferentes es mejor si los agrupas, ejemplo:

if(clave == clave_en_bdd && (usuario == usuario_bdd || usuario = email_bdd))