echo $begrüßung;

ich bin mir nicht ganz sicher, aber selbst bei MySQL und PostgreSQL mit PHP gibt es Prepared Statements. Setzt man diese ein, kann so gut wie nie eine SQL-Injection stattfinden.

Bei Werten, die über den Bind-Mechanismus von Prepared Statements an das DBMS gelangen, ist die Quote prinzipbedingt bei 0.

Desweiteren würde eine SQL-Injection bei PostgreSQL auch nicht so leicht wie bei MySQL funktionieren. MySQL - quasi der Internet Explorer unter den Datenbanken - meint, dass geöffnete Kommentare (SQL-Injection) automatisch geschlossen werden müssen, was die SQL-Injection ja erst ermöglicht.

Das halte ich für einen Anwendungsfall, der wohl nur im Zusammenhang mit Stored Procedures auftreten kann. Ansonsten sind SQL-Statements wohl eher in anderem Programmcode zu finden, und da stelle ich mir es nicht als sinnvoll vor, Kommentare in SQL-Statements enthaltenden Strings abzulegen. Diese Kommentare müssten ja dann auch bei jeder Abfrage mit an das DBMS gesendet werden.

echo "$verabschiedung $name";