echo $begrüßung;
Merke: Wenn man ueber http://... includet, erhaelt man reines HTML.
So der Wunsch, der eventuelle Sicherheitslücken außer Acht lässt.
Und eine scheunentorgroße Sicherheitslücke, zwar nicht durch Jedermann
nutzbar, aber doch noch noch durch genügend Leute.
fuehlst Du Dich in der Lage diese Behauptung durch ein Beispiel zu belegen,
Es muss sich nur eine XSS-Lücke auf der zu inkludierenden Seite befinden, durch die man PHP-Code in die ausgelieferte Seite einbringen kann.
Beispiel eine Suchfunktion, die mit "Sie haben nach $eingabe gesucht. Die Suche ergab ...". Wenn der Inhalt von $eingabe nicht HTML-gerecht aufbereitet wurde, gelangen Sonderzeichen wie < direkt in den Ausgabe und kennzeichnen das nachfolgende als Code und nicht als Nutzdaten.
readfile() verhindert nicht das Durchreichen der XSS-Injektion (beispielsweise, wenn damit HTML- und/oder Javascript-Code eingebunden wurde), wohl aber das Ausführen von PHP-Code auf dem inkludierenden Server.
echo "$verabschiedung $name";