CSRF уязвимость на: Всех проектах McLab, MinecraftOnly, Еще много где

Ботами? В целях тестирования или для DoS атаки?
Если речь про атаку на отказ в обслуживании, то нормальный игровой сервер должен интегрироваться со средствами защиты самой машины, а не изобретать малоэффективные велосипеды.
А так я крайне сомневаюсь, что разработчики этих игровых серверов смогли улучшить существующую архитектуру сервера, даже скорее наоборот, испортили её ещё сильнеё.
LUA в прямых руках творит чудеса (если не используется на системном уровне например).

С чем он конкретно ужасно справляется? Мне на ум приходит только подход с завершением работы интерпретатора после завершения скрипта, но в приложениях и не так часто требуется сохранять какое-то состояние между запросами. А если и требуется, то можно использовать для это key-value хранилище (например memcached), демоны (хотя они и не такие удобные, как в других языках) или какой-нибудь ReactPHP.

Переход с чистого PHP на любой нормальный фреймворк внезапно даст такой-же результат.
Просто так сложилось, что PHP полюбился для написания сайтов в CGI стиле (раньше этим же страдал PERL, кстати), когда за каждую страницу отвечает отдельный .php файл. Никто не запрещает делать также и для Ruby/Python. Только вот незадача, программисты на этих языках практически всегда используют готовые фреймворки вроде Django или Ruby On Rails, которые "таинственным образом" прибавляет сайтам "секурьности и юзабельности".
Заслуги самого языка в этом ноль.

 

Ботами в смысле игроками, причем тут антиддос какой то. Это так же реальные игроки одновременно вйдут после рестарта человек 50 и краш будет.