En selvmotsigelse?
Ikke et sikkerhetsproblem i seg selv, men gjorde det veldig å introdusere bugs. (eksempel)
Er nå utgått, og støtten fjernes fullstendig i PHP6
(Nesten) ingen typesjekking, og man kan bruke samme variabel vilkårlig som tall, streng osv.
Gjør det vanskelig å forsikre seg om hva slags data man har, og kan føre til feil
som er vanskelig å spore.
PHP gjør ikke noe automatisk validering eller filtrering av inndata. (med unntak av magic_quotes).
Gir utvikleren rikelig med muligheter for å skyte seg selv i foten.