Имате SQL инжекция, винаги прилагайте mysql_real_escape_string() към всички изпратени от потребителя или по друг начин потенциално подправени данни, преди да бъдат изпратени до MySQL база данни.
Обърнете внимание на ' около имейл променливата.
$email = mysql_real_escape_string($_POST['email']);
$query = "
SELECT name, smacker, surname, sex, age, nationality, email
FROM employee
WHERE email = '$email'
";
