Yo no soy experto en seguridad ni mucho menos, pero como usuario de frameworks lo que me fijo mucho es en:

• La capa de abstracción a la base de datos, tiene que filtrar todo. Ahí ya reducimos 50% las posibilidades de que nos inyecten sql.
• El componente que maneja los filtros. Por lo que lei, Chris Shiflett fue el arquitecto de Zend_Filter. Este componente de Zend es mi preferido y es muy seguro.
• El componente URI, este es muy importante también, porque tiene contacto directo con el usuario. O sea, el usuario puede interactuar con este componente, lo cual presenta otra amenaza. Si el componente esta bien diseñado, va a filtrar todo por nosotros. XSS, URIs falsas en imagenes, etc.
• El componente que maneja las sesiones. Tiene que proveer un mecanismo que evite el secuestro de cookies. También es muy importante como el sistema encripta los datos, keys, tokens, etc. Ya que a veces ni sabemos lo que hacemos con md5, crc32, sha1 y los hackers se hacen un festín con nuestra ignorancia.
• Autenticación de usuarios. Muy pocas frameworks soportan HTTPS! En sitios de comercio electrónico, nunca usen HTTP.

Bueno, esas son algunas cosas básicas que ese me ocurren ahora.