CakePHP は基本的に SQL を記述することなく、データベースのデータを取り扱えます。少なくとも MySQL を使う限りにおいては、CakePHP 1.3 の内部では、パラメータードクエリに変換されるのではなく、mysql_real_escape_string が呼ばれてサニタイズが行なわれています。 mysql_real_escape_string では \x00, \n, \r, \, ', ", \x1a の文字がエスケープされます。 しかし、LIKE 検索でワイルドカードの意味を持つ %(パーセント記号)と _(アンダーバー)はエスケープされません。そのため % や _ そのものを検索したい場合にはこれらの文字を自前でエスケープする必要があります。 また、LIKE 検索の時に使われる \ 自身も文字として利用する場合にはエスケープが必要になりますが、LIKE 検索のエスケープ