Una aplicación web puede ser vulnerable por varios sitios. A saber. La premisa es que nunca te fies de los usuarios:

Mejoras en la seguridad:

-Siempre, SIEMPRE, validar los datos de entrada de los formularios, para que estén en rangos de funcionamineto correctos.
-Encriptación de las contraseñas con algoritmos de hash y salteado.
-Protección contra SQLInjection en las querys a la DB.
-Vigilancia de las cookies.
-Defensa contra ataques XSS
-Control contra ataques de denegación de servicio: (DDoS
-Revisión de varias directivas del php.ini (como pueden ser Register Globals, o Magic Qoutes, entre otras).

Aquí tienes un enlace interesante:
http://es.php.net/manual/en/security.php

También los datos son vulnerables cuando viajan. La red es un conjunto de nodos por los que pasan los paquetes hasta su destino. Cualquier usuario podría estar captando los paquetes en un nodo cualquiera y sacando información que quizá sea comprometida. Si éste es el caso que te preocupa, una posible solución es usar SSL (aunque ya no depende de PHP esto último).

Por norma general, utilizar un framework te abstraerá un poco de estas tareas y algunas te las facilitará enormemente.

Un saludo