Na przkład Python & Flask. Z baz danych to polecam PostgreSQL.
Jest to w zamyśle *mikro*framework, do którego powstała cała masa paczek, które robią jakieś konkretne rzeczy (Flask-SQLAlchemy - ORM, Flask-Babel - tłumaczenia, Flask-Security - trzymanie hashy haseł itd).
Tutaj jest dość ładnie opisane, jak się tego wszystkiego używa:
http://blog.miguelgrinberg.com/post/the-flask-mega-tutorial-part-i-hello-worldPodstawowe bezpieczeństwo jest ogarnialne.
Do renderowania HTML przeważnie używa się Jinja2, które ma odpowiednie mechanizmy escape'owania stringów, żeby zapobiec XSS.
Do baz danych często używa się z kolei SQLAlchemy. To ORM, więc też automatycznie escapuje to, co powinien.
Jeśli chodzi o CSRF, to Flask-WTF (moduł od formularzy) ma jakieś zabezpieczenia.
Oczywiście to wszystko nie zwalnia z myślenia, bo można się nadziać na coś innego, nawet prozaicznego.
Np. raczej nie chciałbyś mieć app.run(debug=True) na produkcji. ;)
No właśnie, ma wbudowany debugger, więc jak w testach coś się wywali, to można otworzyć konsolę na dowolnej ramce stosu (!) i np. podejrzeć zmienne.