PHP es tan seguro como el programador lo utilice. Seguramente lo que "escuchaste" se refería a los ataques SQL. Así que, lee al respecto. Te dejo los siguientes enlaces:
sqlinjection www.php.net/security.database.sql-injection www.php.net/mysql_real_escape_string (solo porque MySQL es práctimente, la BD por "defualt").
... y he visto sitios en ASP donde dejan expuesto el usuario y contraseña de la BD. Decir que PHP es inseguro, por ser PHP, es una tontería.