Metti gli OR al posto degli AND

P.S. Controlla quelle variabili prima che vengano inserite nel DB...altrimenti sarai molto soggetto a delle injection