In wie fern sicher?

Und du solltest dir angewöhnen die globalen Arrays $_GET und $_POST (in deinem Fall letzteres, da du die Daten aus dem Formular ja wohl auch per "post" abschickst, $_GET wäre für Daten, die über die URL kommen).

Also bspw. $_GET['text'] statt $text.

Zumal du so auch auf der sicheren Seite bist, falls deine Scripte mal auf einem Server laufen sollen, auf dem die Einstellung register_globals auf "off" gestellt wurde, denn dort sind die Werte nur üer globalem Array erreichbar. Infos dazu auch bspw. hier.