Не интересовался данным вопросом. Пока не написали эксперты, оставлю свое мнение. Писал и на том и на том, больше на ASP.
Мне кажется разница не в безопасности платформ как таковых, а в парадигме которую они навязывают. Писать не безопасный, как и безопасный код можно и там и там. Но в современном ASP.NET многие проверки берет на себя платформа, многие вещи учтены, во всех учебниках и примерах используются методы и классы, встроенные атрибуты(как например используемый по умолчанию ValidateInput), которые скрывают многие стандартные проверки и тп.
Например, такая простая вещь, как SQL-инъекции(не знаю есть ли до сих пор места, где они встречаются) В ASP.NET — при использовании ORM — проблемы нет как таковой, при использовании обычных запросов — везде(начиная с любых учебников для чайников) рекомендуется использовать параметризованные команды(мне кажется я даже когда-то видел предупреждения от студии или какой то тулзы в комплекте) и тп.
На чистом PHP, можно так же писать хороший и безопасный код, если человек знает что и как пишет, так же по моему современные фреймворки типа Symfony и Zend, тоже инкапсулируют часть работы по фильтрации и валидации.
Плюс самих сайтов на PHP больше и разница в качестве их написания огромна, от социальных сетей и до страничек самописных интернет магазинов.