echo $begrüßung;

Also von der Theorie zurück zur Praxis!

In der Praxis hat man beim Massenhoster das Host-Header-Manipulationsproblem sicherlich nicht, denn der Default-VHost sollte ein providerseitiger sein. Wenn nicht und man ist zufällig die erste VHost-Konfiguration oder man betreibt einen eigenen Server kann es schon ein XSS-Problem werden, wenn man den Hostnamen einfach so ausgibt.

Wenn in der Seite nicht ersichtlich is, das damit gearbeitet wird is es
vollkommen ungefährlich!?
Ich glaub nicht das es Angreifer gibt die ne kleine Website hacken wollen und dafür mit sowas arbeiten, oder?

Auch kleine Seiten, die vielleicht sogar kaum bis gar nicht vom Administrator überwacht werden, eignen sich als Angriffsziel. Man kann dort wunderbar Dateien hinlegen, auf die von anderen manipulierten, besser frequentierten Seiten verwiesen werden kann.

Vor allem da es ja teilweise noch echt große Lücken gibt, alla beim login-pw ' or 1=1 reinschreiben ;)

Na, das lässt sich ebenso wie XSS-Probleme durch konsequentes kontextgerechtes Behandeln der auszugebenden Werte vermeiden.

echo "$verabschiedung $name";