$_GET['email']="' OR 1 OR '";

$email=$_GET['email'];
echo "SELECT * FROM login WHERE email='$email'";

ti ritorna:

SELECT * FROM login WHERE email='' OR 1 OR ''

Ovvero non devi basare la tua validazione solo su javascript. Questo è già un problema con la applicazione (resitituisci tutta la tua tabella login a chi ha messo quello come email e disabilitato javascript sul suo browser e quindi var expr_email = /^[_a-z0-9+-]+(\.[_a-z0-9+-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)+$/;
te lo bypassa allegramente), nel caso connessione.php non faccia nulla per pulire $_GET