echo $begrüßung;

reservierung.htm?tisch=12
die Variable tisch steht folgendermaßen zur Verfügung und kann nun frei verwendet werden: $_GET['tisch']
Verwendung z.B. <input type="text" value="<?php echo $_GET['tisch'];?>">

Wenn man von diesem einfachen Inhalt ausgeht, ist das so in Ordnung. Doch die Welt ist schlecht, und du hast hier eine klassische XSS-Lücke gebaut. Das fängt damit an, dass jemand " übergeben kann, und da ist dann plötzlich das value="... beendet. "><script>... ist die Fortführung des Ausnutzens solch einer Lücke.

Deshalb gilt immer, nicht nur hier, dass Daten kontextspezifisch zu behandeln sind, wenn sie in einen bestimmten Kontext gebracht werden. Diese Regel gilt übrigens ohne Ausnahme.

Im Fall von HTML sind die HTML-eigenen Zeichen zu beachten, was in PHP die Funktion htmlspecialchars() erledigt.

<input type="text" value="<?php echo htmlspecialchars($_GET['tisch']);?>">

Außerdem sollte man niemals davon ausgehen, dass bestimmte Werte in den $_XXX-Arrays vorhanden sind. Eine Prüfung vor dem Zugreifen (isset()) und im Falle eines Nichtvorhandenseins einen Defaultwert zu verwenden, ist immer eine gute Idee.

echo "$verabschiedung $name";