Что касается меня, вы никогда не должны доверять этим переменным: $ _POST, $ _GET, $ _REQUEST, $ _COOKIE и даже $ _SERVER могут содержать вредоносный код. Поэтому ВСЕГДА убедитесь, что введенные данные соответствуют вашим ожиданиям.
Например, в качестве дополнительной параноидальной меры при проверке адреса электронной почты вы можете зашифровать адрес электронной почты с помощью md5 следующим образом:
"SELECT username FROM users WHERE MD5(email)='" . md5($_POST['email']) . "' AND active=1"