Оно все равно поломается. Нельзя так просто записать текст из риквеста. То есть можно, но х запишешь.
'INSERT INTO `users` (`email`) VALUES("'.mysqli::real_escape_string($email).'")';
вместо метода можно регу нарисовать, но такую, чтоб русский не выкашивала.
Ну то есть будет в имейле вот такой имейл - вася@"идиты".в'ж\nопу - и не запишешь. Мембер может быть думает что его проверки на js спасут?