echo $begrüßung;

DANKE FÜR ALL DIE ANTWORTEN!!!

Kein Grund mit Versalien um sich zu werfen ...

Also das heißt dann für mich, dass ich nur auf mysql_srings mysql_real_escape_string() anwenden muss.

Das heißt, dass du das auf Stringwerte anwenden musst, die in einem SQL-Statement zu stehen kommen sollen.

Auf Benutzereingaben (GET/POST/COOKIE/...) muss ich eigentlich nix anwenden oder so, nur wenn ich sie mit eval() benutze??

Auf Benutzereingaben müssen diverse Plausibilitätsprüfungen angewendet werden, bevor sie weiter verwendet werden sollen. Eine Email-Adresse enthält keine Zeilenumbruchszeichen. Wenn trotzdem welche drin sind, kann das ein Versuch von Header-Injection sein. usw. usf.

Außerdem spielt noch ein PHP-Feature namens Magic Quotes eine Rolle. Siehe </archiv/2006/8/t134653/#m873635>

Bei der Ausgabe von Daten sind diese im Kontext der jeweiligen Ausgabe zu kodieren. Daten in MySQL-Statements mit mysql_real_escape_string(), Daten in einer URL mit urlencode(), Daten für HTML mit htmlspecialchars(), etc. pp.

echo "$verabschiedung $name";