Hallo Tom,

Ich bin zwar nicht der Angesprochene, aber ich gebe trotzdem meinen Senf dazu. ;)

Müsste bei strlen($beschreibung) nicht auch ein htmlspecialchars mit rein?

Es wird ja nur die Länge des Strings überprüft, um zu sehen ob er leer ist. Nichts wird ausgegeben, also sollte da auch nichts sein, was irgendwie problematisch sein könnte.
Daher: Nein.

Noch eine letzte Frage, es gibt noch weitere Felder wie z.B. Straße, PLZ, Ort, Telefon, müssen die auch alle mit einem htmlspecialchars versehen werden?

Ja.
Wenn du die Felder ausgeben möchtest, dann solltest du sie auch „entschärfen”.