echo $begrüßung;

also Javascript wollte ich auch nicht zulassen.
Gibts da eine bessere Methode, als "javascript" (z.B. in type="text/javascript") durch "java script" zu ersetzen? ;)

Das reicht nicht, weil Javascript auch in Eventhandlern (onxxx=...) vorkommen kann und auch mittels IFrames fremde Inhalte eingebettet werden können. Mit kontextgerechter Maskierung bekommst du alle interpretierbaren Zeichen entschärft. Dumm ist das nur, wenn du bestimmte Sachen doch wieder zulassen möchtest. Beispielsweise: Es soll (fast) alles HTML eingegeben werden können aber keine clientseitigen Scriptsprachen-Elemente. Da musst du dann schon etwas mehr Aufwand treiben, um die unerwünschten Elemente einerseits erstmal alle lückenlos zu benennen und sie dann programmatisch zu berücksichtigen.

echo "$verabschiedung $name";