Pero pues en caso de existir (lo que se conoce como bufferoverflow) existirá también en strcmp ya que es la misma función usada en el nucleo de PHP (que es una comparación binaria).

No hay que dejarnos engañar por lo que vemos, aunque veamos == y strcmp, internamente PHP hace muchas optmizaciones y al final usa la cimentación en C de stcmp para comparar el string de forma más efectiva.

Ahora el compañero dice que usa md5() así que no hay problema ahí ya que la cadena siempre será hasheada, más bien en ese caso debería de verificar que no exista un bug en md5() que permita la ejecución de código (que no existe hasta ahora).

Saludos.