Je hebt een SQL-injectie, pas altijd mysql_real_escape_string() toe naar door de gebruiker ingediende of anderszins mogelijk geknoeide gegevens voordat ze naar een MySQL-database worden verzonden.
Let op de ' rond de e-mailvariabele.
$email = mysql_real_escape_string($_POST['email']);
$query = "
SELECT name, smacker, surname, sex, age, nationality, email
FROM employee
WHERE email = '$email'
";