echo $begrüßung;

Deshalb ist , wie hier im Forum schon des öfteren besprochen, folgendes Procedere der Standard: (Kurzversion)

* Userdaten übernehmen

Im Allgemeinen stehen sie schon in $_GET/$_POST/usw. bereit. Sie müssen nicht mehr übernommen werden. Sie müssen aber gegebenenfalls von den Magic Quotes befreit werden.

* Schutz gegen SQL Injections mit der Funktion mysql_real_escape_string in Form von Beispiel 3 (Optimale Vorgehensweise zur Querybehandlung)
* Speichern der Daten

Das sollte man nicht in zwei Schritte aufteilen. Es empfiehlt sich, die notwendige kontextgerechte Behandlung von Daten genau dann vorzunehmen, wenn die Daten in den Kontext eingefügt werden. Das sollte integraler Bestandteil jeder Datenübergabe sein, und nicht ein Extra-Schritt, den man zusätzlich beachten muss, wenn man mal später was ergänzt.

* _Jetzt_ htmlspecialchars verwenden und dann
* Daten ausgeben

Selbe Problematik wie oben.

echo htmlspecialchars($x);

statt

$x = htmlspecialchars($x);
  echo $x;

echo "$verabschiedung $name";