Я использую модифицированный порткуллис и фильтрую все входящие области видимости переменных (URL, FORM, COOKIE) onRequestStart. http://portcullis.riaforge.org/
Пит Фрейтаг ведет замечательный блог, особенно этот пост на Укрепление ColdFusion
Я бы сказал, что лучшие практики для ColdFusion аналогичны методам программирования веб-приложений на любом языке.
Недавно я прочитал Essential PHP Security Chris Shiflett, и большинство обсуждаемых проблем также влияет на ColdFusion, хотя синтаксис для их решения может немного отличаться. Я ожидаю, что есть и другие (возможно, лучшие) книги, не зависящие от языка, которые содержат принципы, которые можно легко изменить для использования в ColdFusion.