echo $begrüßung;

Kaum, denn diese Werte stehen einerseits in $_GET oder $_POST, andererseits sind sie Usereingaben und nicht ungeprüft/unbehandelt zu übernehmen.
Ich dachte dann auch eher so, dass ich vorher die Werte in eine Variable schreibe:
$year = mysql_real_escape_string($_POST['jahr']);
Sollte das nicht auch gehen?

Das wäre dann ein meinem intval()-Vorschlag ähnelnder Ansatz. Vor SQL-Injection sicher, aber genauso unsicher gegen unsinnige Werte. Außerdem legst du extra Variablen an, die du ansonsten nicht weiter verwendest. Mit sprintf() kannst du dir diesen Zwischenschritt schenken.

echo "$verabschiedung $name";