echo $begrüßung;

$username = str_replace("'", "", $username);
$password = str_replace("'", "", $password);
$result = mysql_query("SELECT * FROM user WHERE username = '$username' AND password = '$password'");
Denke das ist relativ sicher, oder nicht?

Wenn du sowieso schon eine Funktion auf die Werte anwendest, um Syntaxfehler zu verhindern, kannst du auch gleich die richtige Funktion anwenden: mysql_real_escape_string().

echo "$verabschiedung $name";