Zastanawia mnie jak to jest z bezpieczeństwem. Czy jeżeli będę korzystał z tych gotowych klas do operowania na bazie danych to zend framework ma wbudowane metody zapobiegania sql, html injection? Czy muszę je sam dopisywać? A co jeśli zdecyduje się jednak na Docrine? Czy on sobie poradzi?

zrob tak jak tobie wygodniej, doctrine filtruje wszystko co trafia do metod o ile uzywasz (a powinienes) przekazywania danych jako parametry.
mozesz tez filtrowac klasami zenda.