Durante el desarrollo de sitios web, la selección de un lenguaje de computadora adecuado y el uso razonable de proyectos de código abierto relevantes es imperativo. Aunque los dos lenguajes, PHP y Java, han sido ampliamente investigados en este contexto, no hay muchos informes de pruebas de seguridad basados en sus proyectos de código abierto. En este artículo, realizamos análisis de seguridad separados en proyectos de código abierto relacionados con la web basados en PHP y Java. Para ello, se utilizan diferentes marcos de código abierto y servicios para diseñar sitios web utilizados para probar ataques experimentales en 12 filtros de código abierto populares disponibles en GitHub, así como investigar el uso del Protocolo de Acceso a Directorios Ligero (LDAP) en el entorno del navegador Firefox. Utilizando cargas maliciosas publicadas por el Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP) y otros, se realizan ataques de Cross-site Scripting (XSS), Inclusión de Archivos Locales (LFI), inyección SQL e inyección LDAP en los objetivos de prueba. Los resultados experimentales revelan que aunque los proyectos de código abierto basados en PHP son más vulnerables a los ataques que los basados en Java, hay un margen significativo para mejorar. Finalmente, se propone un esquema de filtrado basado en lista blanca. Este esquema filtra los atributos en línea de los elementos de etiqueta para que el filtro tenga una excelente tasa de detección de cargas maliciosas y una excelente tasa de aprobación de cargas benignas. También se incluyen referencias efectivas y sugerencias para desarrolladores web para ayudar en la selección de proyectos web de código abierto, y se proponen soluciones viables para mejorar el rendimiento del filtro.