Для внедрения CakePHP и SQL единственное, что вам нужно сделать, это использовать функции CakePHP вместо того, чтобы писать запросы самостоятельно.
Что касается внедрения кода в PHP, это возможно при использовании пользовательского ввода для вызова других сценариев или в сочетании с eval() функцией:
$input = $_REQUEST['page'];
include($input.'.php');
В общем, вы можете избежать этих проблем, предполагая, что злой пользователь находится на другой стороне кабеля: всегда очищайте пользовательский ввод и никогда не доверяйте своим пользователям.
Посмотрите также следующие ссылки:
Лучший способ избежать внедрения кода в PHP
Когда проводить очистку в CakePHP