Tiene una inyección de SQL, siempre aplique mysql_real_escape_string() a cualquier dato enviado por el usuario o potencialmente alterado antes de enviarlo a una base de datos MySQL.
Tenga en cuenta el ' alrededor de la variable de correo electrónico.
$email = mysql_real_escape_string($_POST['email']);
$query = "
SELECT name, smacker, surname, sex, age, nationality, email
FROM employee
WHERE email = '$email'
";
