Hai un'iniezione SQL, applica sempre mysql_real_escape_string() a qualsiasi dato inviato dall'utente o altrimenti potenzialmente manomesso prima dell'invio a un database MySQL.
Nota il ' intorno alla variabile email.
$email = mysql_real_escape_string($_POST['email']);
$query = "
SELECT name, smacker, surname, sex, age, nationality, email
FROM employee
WHERE email = '$email'
";
