Chama a função htmlspecialchars().

Parâmetros:

1. texto
2. charset [opcional

Se você não passar o charset, o Cake irá pegar o definido no seu core.php em App.encoding, se não existir nada lá, então usará UTF-8.

A função será chamada assim:

htmlspecialchars($texto, ENT_QUOTES, $charset);