デフォルトでは シングルクオートをエスケープしてないので、
http://jp.php.net/htmlspecialchars
つけなきゃいけない。
長くなるから関数化させようと思ったけど、
cakePHPで用意されてることを思い出した。

→cake/basic.php
function h($text, $charset = null) {
if (is_array($text)) {
return array_map('h', $text);
}
if (empty($charset)) {
$charset = Configure::read('App.encoding');
}
if (empty($charset)) {
$charset = 'UTF-8';
}
return htmlspecialchars($text, ENT_QUOTES, $charset);
}

cakePHPに限らず htmlspecialchars を h　と略すのは一般的なよう。
上記では、$text　が配列でも扱えるし、
エンコードの判定（デフォルトはUTF-8)もできる。

他に入っている関数も便利なんだろう。。。後で調べてみよう。。。