PHP es perfectamente válido para hacer prácticamente cualquier caso y es tan seguro (o inseguro) que cualquier otro lenguaje de programación. Es tan escalable (su escalabilidad depende del servidor web) como cualquier otro lenguaje de programación.

En la seguridad de una aplicación, el lenguaje utilizado no tiene ninguna importancia: todos ellos tienen agujeros de seguridad, algunos públicos y otros no, algunos conocidos y otros no, pero todos los tienen.

La seguridad de una aplicación depende principalmente de:

1) Los conocimientos del programador. El programador debe saber programa de forma segura.

2) El entorno donde se ejecuta la aplicación. Una aplicación no es solo un programa, es un sistema operativo, un servidor web, una base de datos, etc. Todos ellos deben estar administrador correctamente, mantenerlo siempre actualizado, etc.

La seguridad es una cuestión de capas o niveles, se debe proteger la aplicación en todos los niveles y cuantos más niveles de seguridad existan mejor.

El sistema operativo debe correr el mínimo de servicios posibles, en una maquina que aloja una aplicación que pretende se segura, no puede haber 40 servicios ejecutandose: el SSH, el servidor web y el servidor de bases de datos son suficientes. Si necesitas FTP usas SCP, si necesitas enviar correos usas un servidor externo, etc.

De la misma forma, esta máquina no puede ser compartida por otros 200 clientes, a la máquina sólo puedes acceder tú, sino por muy bien que programes la aplicación, no hay nada que hacer.

Creo que es suficiente para que veas mi punto de vista: el lenguaje en sí no es la clave, sino el programador y el entorno.

Como anecdota, comentar que Oracle tienes unos cuantos agujeros de seguridad conodicos desde hace meses y aún no ha hecho nada. Oracle es la base de datos usadas habitualmente por grandes organizaciones, gobiernos, etc.

Un saludo!