cake.php

<?php

$status = '';


/**
* 1. Đoạn này sai cơ bản, check isset cho filter nhưng lại lấy giá trị cbb,
* nếu có filter mà ko có cbb là có lỗi(có thể viết nhầm cbb thành 1 tên khác). 2 điểm về chỗ đúng rồi
* 2. Chưa filter giá trị $status để chống sql injection: ví dụ dùng addslash để khử dấu ' trong cbb, hoặc quy định biến là kiểu số, ...
* 
*/
if(isset($_GET('filter'))) {
  $status = $_GET('cbb');
}

/**

Hạn chế dùng biểu thức <?= ... ?>, tùy vào môi trường người cài đặt mà short tag có được bật không, nếu ko bật là oẳng
Thay vào đó <?php echo ... ?>

...
...
*/

if($status == "") {
  $que = "select * from banh";
} else {
  $que = "select * from banh where maLoaiBanh = '" . $status . "'";
}

// Đoạn trên có thể viết như này cho code sáng, hạn chế block if else
// Tham khảo https://phpmd.org/rules/cleancode.html#elseexpression
$que = "select * from banh";
$que .= $status ? " where maLoaiBanh = '" . $status . "'" : '';
// hoặc
$que = "select * from banh";
if($status) {
  $que .= " where maLoaiBanh = '" . $status . "'";
}