Какую же околесицу вы все тут несете!Проблема безопасности в WEB на 99% вытекает от ее понимания горе-менеджерами (и прежде всего хозяевами сайтов).
Эти люди пока в большинстве своем не разобрались в простой истине. Уровень безопасности сайта напрямую зависит от человеко-часов потраченных на обеспечение той самой безопасности. Если в бюджете проекта не заложена соответствующая сумма, то о каком ПоХаПэ вы здесь втираете? На чем еще, кроме этого великого и могучего языка вы реализуете проект для WEB? ASP? JSP? Python? Ruby? Не смешите мои тапочки. Где вы потом разыщете человека, на доработку? И во сколько обойдется такой проект в окончательных цифрах?
И самое главное: какого качества программу вы приобретете, заплатив разработчику на 1,5% больше, чем получает слесарь у нас на машиностроительном?
Не ищите соломинку - ищите слона! И научитесь наконец разбираться в причинно-следственных связях.
Будучи ПоХаПе-быдлокодером вот уже 7 с гаком лет, я приложил немало усилий и потратил еще больше времени на достижение понимания того, как не надо писать программы на PHP. За всю свою практику встретил только двух работодателей, понявших, что за отсутствие уязвимостей в программе надо платить, и платить больше...