ten en cuenta que usar un FW implica seguir una estructura y metodología definida, cada FW tiene sus diferencias y diferentes formas de implementar las cosas, y sí, la mayoría ya tiene resueltos temas específicos de seguridad, como filtros XSS y tokens CSRF, además de poder añadir mecanismos RBAC entre otros.

Llevar un site a lo "custom" puede ser muy difícil de mantener, a no ser que implementes una buena estructura de archivos y apliques ciertas medidas para mejorar la manipulación del código, nadie te obliga a usar FW, pero depende de tí seguir reinventando la rueda, cuando ya hay muchas hechas, suerte