Kohana работает довольно шустро несмотря на то, что используемые в ней подходы несколько устарели. По защите"
нужно грамотно настроить regexp'ы параметров роутов для фильтрации входящих данных, для работы с базой использовать orm\querybuilder во избежании инъекций, защитить формы от CSRF с помощью методов класса Security, Использовать ключи\токены не менее 40 символов в длину. Также не мешает глянуть раздел посвящнный безопасности в оф.мануале
https://github.com/kohana/core/tree/3.4/develop/gu... 
