echo $begrüßung;

die Abfrage ist "ansonsten" sicherheitsbezüglich schlecht. Durch die direkte Verwendung von PHP Variablen in deinem dynamisch aufgebauten SQL Statement erlaubst du "bösen" Benutzern eine Tätigkeit, die unter dem Begriff "SQL Injection" bekannt ist.

Soweit so richtig.

Sie könnten durch geschickte Wahl der Eingabewerte quasi alles mit deiner Datenbank machen.

Hier fängt es an, nicht mehr ganz richtig zu werden.

WHERE thread.id=beitrag.thread_id AND thread.forum_id=\"$auswahl\"
$auswahl könnte z.b. folgenden Inhalt haben:
0; DROP ... ; --

was bewirkt, dass der erste Teil des SQL mit forum_id=0; zu ende ist, dann beliebiges SQL ausgeführt werden kann und alles was danach kommt, durch -- auskommentiert wurde.

Diese Möglichkeit wurde schon seit langem von PHP unterbunden. Multiple Statements werden nur noch von mysqli_multi_query() ausgeführt, wofür PHP5 und die mysqli-Extension notwendig ist.

Nichtsdestotrotz kann man aber auch ein einzelnes Statement so erweitern, dass man damit etwas anderes als vorgesehen erreicht. Z.B. könnte eine WHERE-Klausel so erweitert werden, dass sie immer wahr ist, so dass bei einem Passwortvergleich das zur Kennung nötige Passwort nicht benötigt wird.

Lösungsvorschläge zum Thema SQL Injection solltest du im Archiv dieses Forums ausreichend finden.

Ja, und auch das PHP-Handbuch bietet dafür ein eigenes Kapitel an: Database Security

echo "$verabschiedung $name";