なぜPHPアプリにセキュリティホールが多いのか?：第13回　最後のPHP4 ── PHP4.4.9リリース｜gihyo.jp … 技術評論社

にて、PHP4をより安全にするTIPSが紹介されています。

• データベースクエリ用の文字列エスケープには専用関数を利用する
• MySQLを利用する場合，SET NAMESを利用しない
• PostgreSQLを利用する場合，クライアント文字エンコーディングを変更しない
• 入力文字のエンコーディングをmb_check_encoding関数で検証する
• バンドル版のlibgdを利用しない
• セッション管理にクッキーのみを利用する
• セッションモジュールにパッチを当てる
  詳しくはこちら

PHP4の公式なメンテナンスは終了しましたが、SRA OSS Inc でサードーパーティのPHP4延長サポートサービスというのがあるみたい。
記事にもありますが、PHP6と互換性が高く、PHP6で導入される新機能がいろいろ追加されるPHP5.3でリニューアルしたいということであれば、PHP5.3の本リリースを待つのもよいかもですね。
今は改修の時期ではないかも。

PHP5.3 の新機能とサンプル→クロージャ、Namespace等、PHP5.3の新機能コードサンプル集