SQLインジェクションの方は予め対策されているらしいCakePHP!(本当だった!素晴らしい!
しかし、XSS対策は施されていので攻撃的なユーザーからひどい目に合わされてしまいます・・・
「貧弱!貧弱ゥ!」
とまぁ、とりあえずフォームで送信されたクエリは『beforeFilter()』と『h()*1』で対策しちゃいます。
これ、全部エスケープしちゃうけどね。そこんとこは割愛
制限したいコントローラー、またはapp_controller.phpにて
function beforeFilter() { if (!empty($this->data)) { $this->data = h($this->data); } }
これだけ〜!
*1:htmlspecialchars() の便利なラッパーです。