php为什么不安全

最近遇到两位客户，说了一个让我有点怀疑人生的问题：php不安全
我做php十年，这个问题从我开始接触php就听说了，但是一直没当回事。
我的大学专业是.net，毕业后从事的工作就是开发，但是.net的开发以及调试、修改bug的过程很让人捉急，也很可能是当时水平不够造成的。
偶尔一次项目接触了php，确切的说是接触了thinkphp，其他语言的项目在php面前显得过于臃肿和繁琐，然后对php就一发不可收拾。
直到最近两个体量比较大的客户问了这个问题，在我拼命解释原因之后不得不回忆我解释的是否显得更加欲盖弥彰。
回到正题：
1.对于非专业开发的客户群体来说，php不安全的缘由一般是他们公司的官网被挂马，注意这里是"官网"，为什么这样说，一个定制设计的官网报价普遍在5k到一万，不排除大厂的要求高。但是如果套一个模板的报价一千左右就搞定了，甚至更低，一个公司很少愿意花费上万做一个java或者.net的官网。最最常见就是找一套cms直接改，常见的有phpcms，帝国cms，织梦等等，这几套cms都不再更新维护了，网上下载的都是较早的版本，漏洞也早就遍布网络了，小众化的cms更不用说了。所以，用的越多问题就越多。
2.程序员喜欢php的原因就在于它简单或者方便，举个栗子，用一个if($xx)就能判断xx用不用作为条件执行下一步，java或.net首先要保证数据格式，之后才是判断空或者true。所以，越是简单的东西越是容易被攻破
3.开发的问题，我接触较多的是thinkphp和yii框架，做的系统也很少说被黑的，并不说要用框架才能防止被黑，只是框架的构成避免了漏洞的出现，就拿接受url参数来说，在框架内使用是经过处理的，不经过处理直接用，就跟裸奔是一模一样的。

–太忙了，有时间再写吧