Stefan Esser, znany specjalista od bezpieczeństwa PHP, odszedł z grupy PHP Security Response Teamzajmującej się bezpieczeństwem PHP. Przyczyną rezygnacji był brak perspektyw na możliwość uczynieniaPHP bezpieczniejszym. Esser rozczarował się postawą programistów,którzy ignorowali jego uwagi na temat najprostszych nawet błędów.Zaowocowało to wieloma dziurami umożliwiającymi zdalne wykonaniekodu. Ponadto próby krytyki bezpieczeństwa PHP spotykały sięnegatywnymi reakcjami Security Response Team. Esser będziekontynuował swoją pracę nad bezpieczeństwem PHP na własną rękę.Zamierza publikować raporty na temat odkrytych przez siebie dziurbez względu na to, czy deweloperzy przygotują poprawkę czy nie.Oczywiście otrzymają oni na to odpowiednią ilość czasu. Z punktem widzenia Stefana Essera nie zgadza się Zeev Suraski,który twierdzi, że większość problemów wynika z braku doświadczeniaużytkowników PHP, niepotrafiących pisać bezpiecznego kodu. Jest wtym sporo racji, jednak błędy są też samej implementacji PHP. Nadjego bezpieczeństwem według Essera tak naprawdę pracują tylko trzyosoby. Poprawki pojawiają się zbyt późno i są niewystarczającodokładnie testowane. Przykładowo obecnie w CVS znajdują siępoprawki, na które użytkownicy czekają od sześciu miesięcy. Aktualizacja, 15.12.2006, 02:32 Zeev Suraski zdementował informacje jakoby zrzucał odpowiedzialnośćna niedoświadocznych webmasterów korzystających z PHP. Zaznaczył,że nie neguje istnienia dziur w PHP.
