En otro hilo que se cerró se hablaba sobre la inyección de codigo en comentarios. Se dió bastante caña sin aclarar nada (o aclarando que no se podía pero sin saber a que se refería eso de el peligro de los comentarios o de donde venia realmente la confusión).
Entiendo que se referían a esta parte de OWASP y a una mala lectura de él:
https://www.owasp.org/index.php/Comment_Injection_Attack
Código:
Comment Injection Attack
Comments injected into an application through input can be used to compromise a system. As data is parsed, an injected/malformed comment may cause the process to take unexpected actions that result in an attack.
No obstante, sólo por aclarar. Si era esto a lo que se referían, que entiendo que es lo probable, no tiene nada que ver con una vulnerabilidad deribada de poner comentarios en el codigo fuente.
Saludos.