echo $begrüßung;

if(get_magic_quotes_gpc()) {
$product_name = stripslashes($_POST['product_name']);
$product_description = stripslashes($_POST['product_description']);
} else {
$product_name = $_POST['product_name'];
$product_description = $_POST['product_description'];
}

Wenn sich die Magic Quote nicht komplett deaktivieren lassen, empfehle ich immer ihre Auswirkungen einmalig am Scriptanfang zu beseitigen. Dafür eignet sich recht gut das Beispiel aud dem Kapitel Disabling Magic Quotes. Man hat dann nur noch eine einzige Stelle, die man beim Umstieg auf PHP6 entfernen muss.

2. Oder sollte man gleich auf "mysqli" und Objektorientiert umsteigen?

Die Frage musst du dir selbst beantworten. Objektorientiert oder nicht, ist hier nicht die entscheidende Frage, eher ob du die Features von mysqli/PDO/usw., wie beispielsweise Prepared Statements, nutzen möchtest, und sei es nur, um dir das Escapen zu sparen, ohne den Vorteil der Vorparsens nutzen zu wollen/können.

3. eine Überlegung ist auch, die Anwendung event. mal in Zukunft mit anderen Datenbanken wie etwa MS SQL laufen zu lassen.
   Daher überlege ich ob es nicht sinnvoll ist gleich auf Pear MDB2 oder PDO umzusteigen? Damit habe ich aber bisher überhaupt keine Erfahrung.
   Kann man hier auch etwas wie "mysql_real_escape_string" verwenden?

Man muss das bei jedem System, das Code und Daten zusammen in einen Text mischt. Das hat ja nicht nur sicherheitstechnische Bewandnis, sondern ist Voraussetzung, dass das Gemischt-Konzept funktioniert.

Gibt es auch etwas wie "mysql_insert_id"?

Jein. PDO simuliert das (mit Einschränkungen) für die Systeme, die das nicht können (PDO->lastInsertId().
Ein anderes Konzept als auto_increment ist die Verwendung von Sequenzen. Man fordert dort einen Wert an, den man zu Fuß in die Tabelle(n) einträgt.

echo "$verabschiedung $name";