SQLインジェクションがあり、常にmysql_real_escape_string()を適用します MySQLデータベースに送信する前に、ユーザーが送信した、または改ざんされた可能性のあるデータ。
'に注意してください メール変数の周り。
$email = mysql_real_escape_string($_POST['email']);
$query = "
SELECT name, smacker, surname, sex, age, nationality, email
FROM employee
WHERE email = '$email'
";