Hi,
der eigentliche Chat ist ja nicht in JavaScript programmiert (wäre auch gar nicht möglich).
JavaScript ist nur für die bunten Effekte zuständig und wird nur im Browser ausgeführt. Man kann sich damit also höchstens selbst hacken ;)

Wenn in Kombination mit einer Serversprache schlecht programmiert wurde kann natürlich Schaden angerichtet werden.
Bisher haben sich die Fehler bei PCPIN aber nicht gehäuft: community.pcpin.com/viewforum.php?f=4

Generell spricht daher absolut nichts dagegen einen Chat mit PHP und JavaScript zu programmieren.

Als erstes wäre für mich interessant zu wissen, was genau du unter Sicher im Zusammenhang mit dem Chat verstehst.. Abhörsicher? Einbruchssicher? Fälschungssicher?

Es handelt sich wie ja von d0nut erklärt um einen serverseitigen Chat, auf Basis von PHP und wahrscheinlich MySQL. Das ganze wird bei sehr vielen Chatteilnehmern ziemlich unperformant, da man ja letzendlich auf dem Rücken von HTTP, Browsern und serverseitigen Scriptsprachen chattet, die dafür überhaupt nicht ausgelegt sind. Viele Free- und Low-Price-Webhoster verbieten deswegen derartige Chats auch ganz gerne mal.

Die Sicherheit von deinem Chat hängt also im Wesentlichen davon ab, wie gut PCPIN programmiert ist erste Anhaltspunkte findet man eigentlich immer recht leicht...

Übrigens: Dass man den Quelltext sehen kann, andere ihn also kennen (ist ja OpenSource) ist im Allgemeinen kein schlechtes Merkmal, Sicherheit bekommt durch sicheres Design und präzise Umsetzung - nicht durch vertuschen.