echo $begrüßung;

4.) Die session_id wird mit strip_tags() gegen XSS-Angriffe behandelt.

Warum dieses? An welchen Stellen gelangt die Session-ID in andere Kontexte? An diesen Stellen soll sie kontextgerecht maskiert werden. Das gilt für alle Arten von Daten.

• Das was deine Benutzer eingeben muss für den Kontextwechsel nach SQL SQL-gerecht maskiert werden (mysql_real_escape_string() im Falle von MySQL).
• Das was auf eine Webseite ausgegeben werden soll, muss HTML-gerecht maskiert werden (htmlspecialchars()).
• Daten, die in eine URL gelangen sollen, müssen URL-gerecht kodiert werden (urlencode()). Soll diese URL im HTML-Code auftauchen, muss sie anschließend noch HTML-gerecht behandelt werden (htmlspecialchars()).

Natürlich ist es auch nicht verkehrt, bereits bei der Entgegennahme der Daten diese auf gültige Werte zu prüfen. Die Behandlung beim Kontextwechsel sollte aber unabhängig von dieser Prüfung nicht vergessen werden.

echo "$verabschiedung $name";