PHPは仕様的に脆弱になる部分があります。仕様が原因で脆弱になる例

• - 組み込み型の言語仕様
• - リモートファイルインクルード（デフォルト無効）
• - 未初期化セッションIDの受け入れ
• - 透過的セッション管理（デフォルト無効）

などです。中でも組み込み型の言語仕様はローカルファイル読み込みに脆弱なアプリケーションでは致命的な問題です。PHP以外の言語でも、例えば、画像ファイルにコードを埋め込みスクリプトを実行する攻撃は可能ですが、PHPは組み込み型であるためほとんど制限無く任意スクリプトが実行できます。

open_basedirを利用することによりリスクは低減できますが、仕様的に脆弱であることには変わりありません。

以前、PHPにも<?php ?>タグ無しにスクリプトを実行できるようにする事が議論されたことがあります。残念ながら実現しませんでした。

未初期化セッションIDの受け入れも非常に重大なセキュリティ上の問題です。これについては別の機会に解説したいと思います。

仕様以外の問題にリリースの問題もあります。PHPは言語とモジュール（ライブラリ）が一体となってリリースされています。言語とモジュールは別に管理されている方がアップグレードが行い易くなります。リリース通りにアップグレードしようとすると非常に多くの変更が含まれるモジュールのアップグレードも行わなければなりません。変更量が多くなるとアプリケーションへの影響が把握しづらくなります。

PHP本体とモジュールはAPIさえ合っていれば自由に組み合わせることが可能です。セキュリティ維持の為、新旧組み合わせて利用する事は、PHP以外の言語では当たり前のように行われています。PHPでは、あまり一般的に行われているとは思えません。

PHP4のサポートが終了し、PHP5に移行しようとされている方も多いと思います。現在PHP5.3が開発中です。最後のPHP5リリースになれば良いと思っていましたが、PHP5.4もリリースされる事は確実な状況になってきています。この調子だとPHP5.5もリリースされるかもしれません。企業ユーザにとってはあまり好ましい状況ではありません。

PHPにはダメな所も多いので「PHPより○○○○の方が良いよ」と言う場合、具体的に比較すれば良いと思います。