Vous avez une injection SQL, appliquez toujours mysql_real_escape_string() à toute donnée soumise par l'utilisateur ou potentiellement falsifiée avant de l'envoyer à une base de données MySQL.
Notez le ' autour de la variable email.
$email = mysql_real_escape_string($_POST['email']);
$query = "
SELECT name, smacker, surname, sex, age, nationality, email
FROM employee
WHERE email = '$email'
";
