скрытый код != безопасный... к примеру достаточно трудно поломать нормальный двиг (slaed,dle,drupal,joomla) так как у них нормальный уровень поддержки (даже у бесплатных) и если вовремя следить за новостями на оф сайтах, то заплатки появляются почти сразуже после публикации уязвимости, что не скажешь про самописный двиг. кто знает вдруг ошибку какую нить допустил и все, за всем не уследишь...иногда кодеры такую хню откровенно говоря пишут, что непроверяют элементарные вещи - проверку на расширения закачиваемых файлов (так было опущена пара тройка сайтов), на фильтрацию тегов и тп...к примеру есть у нас в городской сети файлообменный сервер, так сколько они там разработчику не платили - 2 активные xss за 20 мин нашел...+ как писал небыло проверки на закачиваемые файлы во временный каталог...
так что имхо это еще как посмотреть...