Sie haben eine SQL-Injection, wenden Sie immer mysql_real_escape_string() an von Benutzern übermittelte oder anderweitig potenziell manipulierte Daten, bevor sie an eine MySQL-Datenbank gesendet werden.
Beachten Sie den ' um die E-Mail-Variable.
$email = mysql_real_escape_string($_POST['email']);
$query = "
SELECT name, smacker, surname, sex, age, nationality, email
FROM employee
WHERE email = '$email'
";
