Máte SQL injekci, vždy použijte mysql_real_escape_string() na jakákoli data odeslaná uživatelem nebo s nimi jinak potenciálně manipulovaná data před odesláním do databáze MySQL.
Všimněte si ' kolem proměnné email.
$email = mysql_real_escape_string($_POST['email']);
$query = "
SELECT name, smacker, surname, sex, age, nationality, email
FROM employee
WHERE email = '$email'
";