そのハードルの低さが売りな部分を持って拡大したのであれば、手っ取り早くハードルを上げるには、ハードルを高いものに変える事だ。なんてね。

IIS+ASP(ActiveServerPage)で書かれたサイトだって相当おかしなコードが多くてヨワヨワな場合が多いのはこの業界の人なら誰もが薄々わかっていることなわけで。（しかもその手の予想はたいていあたってる）

http://neta.ywcafe.net/000838.html

PHPとIIS+ASPを比べてもあまり意味がない。というか、言語は関係ないんだけど、特に「じゃあASPを使わないって言えるの？」ってのは、ASPが脆弱、PHPもそれに比べられるくらい脆弱、って言っているようにしか思えないし、「ASPだって」なんて言っちゃってたら、「セキュアじゃない奴ら同士で喧嘩してるよ」みたいにも見える。
あと、事例を引くのはいいけど

・phpBB の既知の脆弱性をついたSQLインジェクション攻撃が行われた可能性
　が高い

https://www.netsecurity.ne.jp/1_3104.html

という話もあるからね。薮蛇。
言語は関係ないってのはある面では非常に正しいし、これも何回も言われていることだけれども、言語に影響される部分も多くある。もっと言うとコミュニティーにも依存している。だから、PHPを擁護する人が「お前だって脆弱じゃないか〜」っていう涙目な感じでこういう記事を書くのは非常に残念な話。暗に言語とその文化の脆弱性を肯定しているようにも思える。それにIIS+ASPが脆弱なんてのも結構過去の話じゃないかなあ。