Für mich ist eigentlich das ausschlaggebend, was Evaki oben schon schrieb - ab v5.7 ist strict per default active.
Neben ein paar ausländischen Kunden, deren Hoster bei den Softwareupdates nicht so fix sind wie z.b. unsere großen deutschen Provider, hab ich nur einen, der bei einem kleinen Anbieter ist und selbst der hat Strict. Bei den großen" Deutschen wie 1&1, Strato, Host Europe oder auch AllInkl ist es etwa 50/50, die meisten haben es mit den Updateorgien im letzten Herbst bekommen.
Solang ich den Code kenne, was nun mal Open Source mit sich bringt, ist es sicherheitstechnisc h kein Vorteil. Da sucht man sich die Felder halt im Script zusammen und gut ist.
Ist der DB-Aufbau aber nicht bekannt, dann kommt man mit z.b. einem einfachen Insert, wie ihn viele add.php älterer Module haben, nicht mehr weit