受け取ったパラメータを検証するとか、そもそも受け取るパラメータを固定するとか、
フレームワークがどれだとかに関わらず、例えフレームワークが大丈夫と謡っていても、
そういうロジックは設計の段階で考慮すべきで、そうすると実装に手間や苦労は要らないと思う。
特に、勉強してみよう的な新規プロジェクトなら尚更でしょ。
そこを丸投げするため/丸投げできるが謳い文句のフレームワークがあったとしたら、
MSの「安心できるセキュアなサーバ製品群」より不安になるね。
知名度あって狙われるのに、アホみたいな意識で管理されてるに決まってるから。

結局そういったセキュリティ対策が、手間や苦労に感じるっていうのは、
すでに構築済環境への適用・対策の際に、往々にして自分が設計に絡んでないような
ソースを検証してメンテしなけりゃならないからってだけじゃないかね。