Primeiro de tudo, você precisa alterar o mysql_query( ... ) na linha 9 do seu segundo bloco de código postado para mysqli_query( ... ) , para consistência e compatibilidade da API.

Além disso, você pode ter resultados duplicados se estiver permitindo várias entradas na tabela de conversas em que os usuários A e B podem ser inseridos como user1 =A, user2 =B em uma conversa e user1 =B, user2 =A em uma conversa diferente.

Por último, como Jay Blanchard dito, você deve usar instruções preparadas para evitar injeção de SQL.