Certo che è sicuro anche scritto in PHP, basta saper programmare come si deve.
La sicurezza non è una cosa intrinseca del linguaggio.

Il fatto che per grossi progetti si usi Java è perché ormai si è affermato in questo ambito e fornisce molto materiale già pronto, strumenti dedicati affermati (Hybernate per la persistenza dei dati per esempio) e comunque una letteratura molto più sviluppata rispetto a quanto non si trovi per PHP.

Ciò non toglie però che se uno vuole può fare la stessa cosa con PHP... lavorando un po' di più.

Per quanto riguarda Zend, sì, si può fare con Zend così come usando qualsiasi altro framework, il lavoro non lo fa il framework, quello ti mette a disposizione una struttura e delle funzionalità, ma il codice per far fare al sito ciò che ti serve lo devi scrivere tu e puoi scrivere codice per fare qualsiasi cosa tu voglia.