echo $begrüßung;

Jetzt geht es mir um die Sicherheit der includierten, tatsächlich existierenden Dateien wie zB die anything.inc.php.
Die kann man, wenn man es herausgefunden hat, direkt aufrufen.

Alles was nicht aufgerufen werden soll gehört nicht unterhalb des DocumentRoot abgelegt. In der Praxis ist das aber nicht immer realisierbar. Wenn du bei deinem Provider für die Domains Unterverzeichnisse unterhalb deines Kundenverzeichnisses anlegen kannst, und das DocumentRoot der Domain(s) auf so ein Unterverzeichniss zeigen lassen kannst, kannst du nun ein weiteres anlegen, auf das keine Domain zeigt. In dem kannst du nun Dateien ablegen, die nicht über das Web erreichbar sind. Bietet der Provider eine solche Möglichkeit nicht an, kannst du wenigstens noch ein Verzeichnis anlegen und den Zugriff darauf verbieten. Somit hast du einen Platz, an dem du die zu inkludierenden Dateien ablegen kannst, ohne dass sie jemand direkt aufrufen kann.

echo "$verabschiedung $name";