echo $begrüßung;

Ich glaube du suchst mysql_real_escape_string().
Hmm, nein, eher nicht. Wegen dem Escapen der SQL Statements mache ich mir weniger Gedanken, das macht Zend Framework für mich.
Mir geht es um Site-Cross-Scripting Attacken & Co.

Das Zend Framework maskiert auch die HTML-eigenen Zeichen. Dafür hat Zend_View die Methode escape(), und allgemein in PHP gibt es htmlspecialchars() für diesen Fall.

Was ist, wenn ein User einfach ein JavaScript eingibt statt "braven" HTML-Code???

Dann musst du für dich definieren, was du unter brav zählst und was nicht. Anschließend läuft es wohl auf Parserbau hinaus, denn mit einfacher Mustererkennung wirst du schnell an Grenzen stoßen. Sieh dir mal die BBCode-Parserklasse für PHP an, dann weißt du ungefähr, was auf dich zukommt.

echo "$verabschiedung $name";