echo $begrüßung;

Die Pseudo-Session-ID müsste zum übertragen per POST dann jedoch auf jeder Seite in einem versteckten Formular schlummern.

Neben dem bisherigen Abraten ist das hier ein Punkt der zu Folgeproblemen führt. Nehmen wir an, dass du generell POST-Requests durch die Gegend sendest, damit die Session-ID nicht in der URL landet. Wenn nun ein Besucher in der History zurückblättern möchte, bekommt er immer die Frage, ob er die POST-Daten noch einmal senden möchte. Diese Abfrage wirst du nicht wegbekommen. Der Cookie-basierte Ansatz hingegen, der zur Not auf die URL ausweicht, mit "normalen" GET-Requests arbeitend, hat dieses Problem nicht.

Da liegt mein Bedenken zur Sicherheit.

Bedenken zu irgendeinem Thema lassen sich dadurch ausräumen, indem man sich über das Thema informiert und es letzlich verstanden hat, sowie weiterhin am Ball bleibt, um beim aktuellen Stand - hier des Sicherheitswettrüstens - mitzuhalten. Ein eigenes bedenkenbeladenes Konzept, das in der Praxis nicht getestet ist, ist sicher kein gutes.

echo "$verabschiedung $name";