lol wer versucht da ne sql injection zu machen? xD bringt doch nichts ^^

hier noch paar tipps
if(isset($var)) {
code abbrechen
}
um die leeren eingaben zu vermeiden

dan noch

if (!preg_match('/[a-z0-9_-]+(\.[a-z0-9_-]+)*@([0-9a-z][0-9a-z-]*[0-9a-z]\.)+([a-z]{2,4}|museum)/i', $_POST['email'])) {
die email adresse ist wohl nicht richtig?^^
}
der ist dafür da das nicht bei email bla reinkommt sondern nur z.b bla@bla.de aktzeptiert wird ;p
und gegen den XSS schutz benutz das

$var = htmlentities($var);