echo $begrüßung;

zu ungewünschten HTML- und clientseitigem Script-Code führen.
Koennte ein Client, wenn ihm ein Server irgendeinen "schmutzigen" Query-String zureuckschreibt ( einfaches "print" - natuerlich kein "eval" - das ist klar ), mehr Schaeden anrichten als wuede er sich das JS/PHP einfach in eine lokale Datei schreiben und ausfuehren ?

PHP lokal ausführen zu wollen dürfte ist nur in wenigen Fällen erfolgreich sein. Dazu müsste das jemand bei sich extra installiert haben. Aber Javascript haben die Browser eingebaut.

Der Kontext einer Webseite ist ein anderer als der einer lokalen Datei. Beide müssen nicht unbedingt in der gleichen Sicherheitszone - oder wie auch immer das die Browserhersteller nennen mögen - ausgeführt werden. Die lokale Datei ist vielleicht vertrauenswürdig, die Webseite nicht - oder umgekehrt.

Webseite B (wie böse) enthält einen Link mit schmutzigem Querystring, der auf Webseite A (wie artig) verweist. Dummerweise hat A aber eine XSS-Lücke und ist außerdem beim Client als vertrauenswürdig deklariert. Somit könnte B veranlassen, dass der Code in A Dinge ausführt, die für B einen Nutzen haben könnten. Auslesen von Cookie-Daten von A wäre ein Beispiel, darin könnten Anmeldedaten gespeichert sein.

B könnte auch auf A Aktionen veranlassen, die gegenüber dem Server wie Benutzeraktionen aussehen. In Zeiten von unsichtbar ablaufendem AJAX bieten sich da sicher einige hübsche Möglichkeiten ...

Evtl weil das Ganze ggf. innerhalb einer PHP-Sitzung erfolgt ?

Was ist denn eine Sitzung? Im Grunde doch nur das Speichern von ein paar Daten auf dem Server mit Identifikation durch einen eindeutigen vom Client bereitgestellten Schlüssel. Auch dieser Schlüssel lässt sich auslesen und vom Angreifer so verwenden, dass er im Kontext der Session etwas anstellt.

echo "$verabschiedung $name";