Sobre Cake...

El uso de eval(), tambien conocido como "demonio" por programadores de php, se considera una mala practica. Permite ejecutar código PHP y muchas aplicaciones lo usan, o por lo menos lo usaban, lo que costo innumerables dolores de cabeza para los administradores de sistemas.

Ahora, todos sabemos el peligro de usar sesiones, de como un hacker con malas intensiones puede manipular la información que se almacena en la misma. No es muy difícil lograrlo, cualquier libro serio de PHP explica los conceptos básicos de como hacerlo y justamente en el ultimo Defcon una persona distribuyo una herramienta para que todos lo puedan hacer con tan solo un click.

Ahora, juntemos: el "demonio" de eval() y las sesiones, que tenemos? Un peligro inminente? Una gran amenaza? No... Tenemos al componente que maneja las sesiones en CakePHP!

Aunque ustedes no lo crean, Session de CakePHP utiliza eval() para leer las sesiones!! O sea, cualquier que inyecte código en una sesion, lo va a poder ejecutar. Increible, pero real.

Son cosas como estas que me mantuvieron siempre muy alejado de Cake.