Использует ли cakePHP mysql_real_escape_string для данных sql и strip_tags и html-кодирования по умолчанию или это должен делать пользователь / программист?
Адаптер Cake DboMysql имеет значение mysql_real_escaping строк, но может выполнять другие действия для других типов и значений (например, использование NULL).Убедитесь сами: http://api.cakephp.org/view_source/dbo-mysql/#l-628
mysql_real_escaping
NULL