Нещо подобно?
$query .= "WHERE
1=1
AND e.id=p.employee_id
AND p.office_id=o.id
AND (o.office_name= '".mysqli_real_escape_string($officeName)."'
OR o.office_name= '".mysqli_real_escape_string($firstName)."'
OR o.office_name= '".mysqli_real_escape_string($lastName)."')
";
Използвах mysqli_real_escape_string()
тук като пример, трябва да използвате правилните и необходими предпазни мерки, за да избегнете SQL инжектиране във вашата система.