flanker (./1606) :
avec PHP, le comportement par défaut (faire sans framework et tout faire à la main) est mauvais et conduit à avoir des failles

Je vais répondre, crois-moi, sans mauvaise foi aucune : avec un tel raisonnement, on pourrait aussi bien jeter à la poubelle des langages comme C/C++ sous prétexte qu'ils n'ont pas de garbage collector ou qu'on peut créer des buffer overflow.
Ce n'est pas parce que PHP n'a pas de garde-fou avec de grands panneaux lumineux "faut pas faire comme ça sinon ça crée des failles" que le langage doit être blamé pour ce qui est de l'incompétence de ceux qui l'utilisent. Encore une fois, ne pas gérer les failles CRSF est une méconnaissance du développeur. Ne pas savoir utiliser PDO pour éviter les injections SQL, c'est ignorer le B-A-BA du duo PHP/SQL depuis presque 10 ans.

Les frameworks dont tu parles permettent à des langages non-web de faire du web. Les frameworks PHP permettent de ne pas avoir à réinventer à chaque fois la roue pour des concepts comme l'authentification, la structure MVC, l'envoi d'emails HTML compatibles avec le plus de messageries possibles...