echo $begrüßung;

1. Inwieweit ist das [whitelist] besser oder schlechter als ein Captcha?

Beide haben andere Aufgabenstellungen. Man kann auch mit erlaubten Zeichen unsinnige Texte fabrizieren. Und ein Captcha schützt nicht unbedingt gegen automatische Formularbearbeitung. Mit genügend Energie baut der Angreifer ein System, das die Captchas auf einer anderen Webseite von Leuten lösen lässt, denen dadurch etwas versprochen wurde. Wenn deine Lösung individuell genug ist, wird ein Massenbot damit nicht umgehen können. Allerdings werden auch Bots immer mehr verbessert, so dass sie auch kompliziertere Formularabsendeverfahren erfolgreich abarbeiten können.

3. Habe mal gelesen, daß die "whitelist" oder "Positivliste" die einzig
      sichere Methode ist um ausschließlich bestimmte Zeichen durchzulassen,
      ist dann ein Captcha noch nötig?

Kommt darauf an, was das Ziel ist.

4. Wenn ja, ist das richtig umgesetzt?

Kommt darauf an, was das Ziel ist. Dein Code verstümmelt teilweise Namen und Inhalt, wenn darin Zeichen enthalten sind, an die du gerade nicht gedacht hast. Es ist sicher peinlich, wenn du einen René mit Hallo Ren! ansprichst.

5. Ich möchte meine Webseite mit diesem Formular verkaufen, wer haftet für
      den Fall, daß durch dieses Formular trotzdem Schaden entsteht?

Das kommt mindestens auf die Vertragsgestaltung an. Gegen Vorsatz hilft aber sicherlich kein Vertrag.

Wie kann man sich vor dieser Haftung schützen?

Du kannst dich nicht generell aus deiner berechtigten Verantwortung stehlen. Wenn du mit dem Kunden vereinbarst, dass der Einsatz des Fomulars auf sein Risiko geht, dann kann ein Gericht immer noch rechtsprechen, dass wegen Fahrlässigkeit oder Vorsatz diese Vertragsklausel nichtig ist. Wende dich bitte mit rechtlichen Fragen an qualifizierte Ansprechpartner, die dich auch im konkreten Fall beraten dürfen und gegen die du bei falscher Beratung gegebenenfalls vorgehen kannst.

echo "$verabschiedung $name";