Okolo 30 % všetkých zraniteľností zaznamenaných v [[:en:National Vulnerability Database]] sú spojené s PHP.<ref>{{ cite web|url=http://www.coelho.net/php_cve.html|title=PHP-related vulnerabilities on the National Vulnerability Database|accessdate=2012-07-05}}</ref> Tieto zraniteľnosti sú spôsobené nedodržaním pravidiel praktického programovania. Technické chyby samotného jazyka alebo jeho základných knižníc nie sú také časté (okolo 1% zo všetkých chýb v roku 2008).<ref>{{cite web|url=http://seancoates.com/blogs/security-and-driving-and-hiring |title=Security and... Driving? (and Hiring) |publisher=Sean Coates |date= |accessdate=2009-07-29}}</ref><ref>[http://www.computerworlduk.com/toolbox/open-source/blogs/index.cfm?entryid=533&blogid=14 Computerworlduk.com], Interview: Ivo Jansch, February 26, 2008</ref> Keďže programátori robia chyby, niektoré jazyky obsahujú kontrolu chýb na automatické zisťovanie nedostatočnej validácie vstupu, ktorá vedie k mnohým problémom. Takáto funkcia je vyvíjaná aj pre PHP,<ref>{{cite web|title=PHP Taint Mode RFC|url=http://wiki.php.net/rfc/taint}}</ref> ale jej zahrnutie a vydanie bolo v minulosti niekoľkokrát zamietnuté.<ref>{{cite web|title=Developer Meeting Notes, Nov. 2005|url=http://www.php.net/~derick/meeting-notes.html#sand-boxing-or-taint-mode}}</ref><ref>{{cite web|title=Taint mode decision, November 2007|url=http://devzone.zend.com/article/2798-Zend-Weekly-Summaries-Issue-368#Heading1}}</ref>
Existujú však pokročilé ochranné záplaty ako napríklad [[Suhosin]] a [[Hardening-Patch]], ktoré sú špeciálne navrhnuté pre prostredia webhostingu.<ref>{{cite web|title=Hardened-PHP Project|url=http://www.hardened-php.net|date=2008-08-15}}</ref>
[[PHPIDS]] pridáva bezpečnosť ľubovoľnej PHP aplikácii pre ochranu proti intruze. [[PHPIDS]] detekuje útoky založené na cross-site scripting ([[XSS]]), [[SQL injection]], header injection, directory traversal, spúšťanie vzdialených súborov, remote file inclusion, a denial-of-service ([[DoS]]).
