Par contre, la seconde, ça vient d'un mec qui bossait officiellement sur la sécurité de PHP, avant qu'il jette l'éponge en décembre 2006. Et apparemment il est plutôt reconnu, donc j'imagine qu'il sait de quoi il parle
Espérons que ~8 ans plus tard, il y ait du mieux ^^