CakePHP では htmlspecialchars() を h() と短縮できるのだが……、
ちょっと気になることがあって、該当するソースを確認すると、
下記のようになっていた。

return htmlspecialchars($text);

配列を渡すと、その値をすべて処理してくれるのは
便利だけど、htmlspecialchars() はデフォルトのまま
使っているから、シングルクォートは変換されない
(ENT_COMPACT になる)。これはちょっと危険な気が
する。といって、コア部の cake/basics.php を直しても、
バージョンアップのたびに対処しなきゃいけないし、
むしろ忘れてしまう可能性大。