ちょっとしたプログラムで・・・・

<?php
return $this->find('all', array('conditions'=>array('Customer.name LIKE '=>'%'.$customer_name.'%')));

上記の $customer_name をエスケープしようとして、
Sanitize::clean() を使ったけど、
% がエスケープされなかった。

% を入力すると全データが出力されてしまう。

これがエスケープの正常動作かは分からないけど、
全データを出力したくないので、
%をバックスラッシュで別途エスケープした。

モデル部分は自分でPDOを使って実装した方が
安全で早いかもしれない・・・。