Ifølge National Institute of Standards and Technology står PHP-applikasjoner for nesten halvparten av alle sikkerhetshullene som man oppdaget generelt over hele markedet i 2006. 

Det er ikke språket i seg selv som er dårlig sikkerhetsmessig, men den store andelen av amatørprogrammerere som ganske enkelt lager applikasjoner der man utelater sikkerhet. 2690 av 6198 sårbarheter hadde ordet "PHP" i sin beskrivelse, mens bare 84 var direkte relatert til PHP i seg selv.

For et par år siden gjorde man et par trekk i standarddistribusjonen til PHP som bedret sikkerheten - blant annet ved å skru av register_globals. Det ser imidlertid fortsatt ut som om det er et stykke å gå og der konfigurasjonsmulighetene stopper er det brukerne selv som må utdannes innen sikkerhet.

Foreløpig har det ikke blitt annonsert noen trekk fra PHP Group for å bedre sikkerheten ytterligere, men man har erkjent utfordringene og kommer trolig til å øke sikkerhetsfokuset fremover - ihvertfall dersom vi skal tro SecurityFocus og The Register.

(Kilde: Security Focus, The Register)