POSTやGETで送られたデータをPHPで受け取って処理をするときに、
$email = htmlspecialchars($_POST['email'], ENT_QUOTES);
というように無害化してデータ取得するようにしています。

今の御時世「無害化」という言葉は使われません、「エスケープ」の方が一般的です。
また、htmlspecialchars は データを受け取って処理するとき ではなく、データを表示するとき にする必要があります。

したがって、

例えば、上記がメールアドレスを受け取る変数だとした場合、
これに正規表現などでメールアドレス形式かをチェックもしてから、
データを受け取るということをするのでしょうか。

データを受け取るときは htmlspecialchars などせず受け取って、そのまま正規表現なりなんなりでチェックした後、データを表示するとき（=HTMLに変数の値を埋め込むとき）に htmlspecialchars でエスケープします。

その場合は、無害化すればOKと考えるのか、

前述の通り htmlspecialchars することを「無害化」と呼ぶべきではありません。
htmlspecialchars は文字列を HTML へ埋め込める形式へ変換する関数であって、それ以上のものではありません。

それにプラスして正規表現によるチェックまで行うか、

正規表現によるチェックは入力値の妥当性を検証するものであって、いわゆるバリデーションです。
htmlspecialchars での、いわゆるエスケープとは全く異なるものなので、同列に考えるべきではありません。

htmlspecialcharsは表示加工用のメソッドなので、
変数代入時には使用しないです。

基本的な処理の流れとしては、
0. リクエストパラメータを受け取る。
0. リクエストパラメータの入力内容チェックする。（DB更新時のみ）
0. リクエストパラメータの入力内容とDBの整合性チェックする。（DB更新時のみ）
0. DB操作を行う。
0. 結果を表示加工して出力する。
となるかと思います。
無害化対策は、
DB更新時に、SQLインジェクション対策をしっかり取る
表示加工時に、XSS(クロスサイトスクリプティング)対策を取る
です。
もっと、堅牢にしたければ、CSRF対策を検討するのもいいかも。（私はやったことないですが）