arkadaşlar mevcut kodları paylaşıyorum size giriş yaptırdığım

<?php
                ob_start();
                session_start();                
                include 'config.php';              
                  if($_POST)
                  {
                  $username = $_POST['username'];
                  $password = $_POST['password'];                  
                  $sql = "SELECT * FROM users where username='$username' or mail='$username' and password='$password'";
                  $sonuc = $baglanti->query($sql);
                  if ($sonuc->num_rows > 0)
                  {
                  $_SESSION["login"] = "Giriş yapılıyor...";
                    header("Refresh:1; url=./homepage.php");
                  }
                  else{                  
                    $_SESSION["error"] = "Kullanıcı adı veya Şifreniz yanlış!";
                  }                  
                  echo '<br>  '. $_SESSION["error"];    
                  }
                ?>

burada kullanıcı adı veya e-posta ile giriş yaptırmak istiyorum ikisiyle giriş yaptırmaya çalıştığımda şifreyi yanlış bile girsem panele giriş yapıyor eğer

or mail='$username'

bu kodu silersem doğru şekilde çalışıyor ama ben kullanıcı adı ve eposta ikisinden birini giriş yaptırmak istiyorum