CodeIgniterのビューファイルではプレーンなPHPを書きますが、
Mustacheを読み込んで使用する事で、
より簡単な、見通しの良いビューファイルが出来上がるのでは！ と思いやってみました。

普通にライブラリとして読み込む

配置する

執筆時からMustacheのバージョンが変わり、単ファイルではなくなっているため、手順が大きく変わる可能性があります。 （2012/10/25）

まずはPHP版のMustacheをダウンロードしてきます。

» bobthecow/mustache.php · GitHub

ダウンロードしてきたMustache.phpを、
system/application/libraries/ にコピーします。
ここは、CIのユーザーライブラリを格納しておくお決まりの場所です。
cf) ライブラリの作成 : CodeIgniter ユーザガイド 日本語版

簡単な例

$this->load->library( "mustache" );

echo $this->mustache->render(
    // 第一引数はテンプレート（文字列）
    "Hello, I am {{name}}",
    // 第二引数はテンプレートに渡す連想配列
    array( "name" => "HogeFuga" )
);
// Hello, I am Hogefuga

文字列をテンプレートとして出力してみた例。

ビューファイルを読み込んで出力する

/* コントローラ内 */
$this->load->library( "mustache" );
$this->mustache->render(
    $this->load->view( "example.php", null, true ),
    array(
        "members" => array(
            array( "name" => "太郎" ),
            array( "name" => "花子" ),
            array( "name" => "ジョンソン" )
        )
    )
);

CIおなじみの$this->load->view()の第三引数にtrueを渡すと
結果を文字列で受け取れるのでそれを使います。

<!--ビューファイル（example.php）-->
<ul>
    {{#members}}
    <li>わたしが{{name}}です！</li>
    {{/members}}
</ul>

出力結果

<!--出力結果-->
<ul>
    <li>わたしが太郎です！</li>
    <li>わたしが花子です！</li>
    <li>わたしがジョンソンです！</li>
</ul>

Controllerを拡張してみる

毎度$this->mustache->render()と、$this->load->view()を
両方呼ぶのが面倒だと感じたなら、
コアクラスのControllerを拡張してしまう手もあります。

/*
 * 2.0でおき場所がかわったので注意
 * 1.7.x → system/application/libraries/MY_Controller.php
 * 2.0 → system/application/core/MY_Controller.php
 */
class MY_Controller extends Controller {

    public function __construct(){
        parent::__construct();
        $this->load->library("mustache");
    }

    public function _render( $name, $data = null, $return = false ){
        $res = $this->mustache->render(
            $this->load->view( $name, null, true ),
            $data
        );
        if( $return ) return $res;
        echo $res;
    }
}

上の例では、$this->_render()を使う事で、
$this->load->view()と同じ要領でビューファイルを
Mustacheを通して出力する事が出来ます。

$this->_render(
    "example.php",
    array( "name" => "foobar" )
);

まとめ

単純な出力しか出来ないので場合によっては不向きですが、
他言語とテンプレートの共有が出来るなんていう利点もあったり。
なかなか悪くない組み合わせな気がします。

※2010/08/07 セッションエンコーディングの項で、キー文字列を入力した例を追記

CodeIgniter from Scratch: Security | Nettuts+

こちらがそのチュートリアルビデオなのですが…
35分と大変長いので、要点だけ下にまとめておきます。
ビデオではスクラッチから書いていて大変わかりやすいので、
時間がある時に見ておくと良いと思います！
英語ですが、コードだけ見ていても参考になります。

1. パラメータに使用される文字を制限する
2. パスワードエンコーディング
3. SQLインジェクション対策
4. クロスサイトスクリプティング対策
5. セッションエンコーディング
6. PHPのエラー表示を消す
7. プライベートメソッドを使う

1. パラメータに使用される文字を制限する

CodeIgniterはURLの一部をメソッドの引数として受け取りますが、
そこで使用可能な文字をconfig.phpで厳しく管理しています。

$config['permitted_uri_chars'] = 'a-z 0-9~%.:_-';

正規表現の書式で指定されているここの値を、より厳格にする事で
クライアント側からの予期せぬインプットを防ぐ事が出来ます。
制作するアプリケーションによって中身を精査すると良いでしょう。

2. パスワードエンコーディング

sha1やmd5等のPHPに既存の関数ではなく、
よりセキュアにエンコーディング出来るencryptライブラリの使用が推奨されています。

$this->load->library("encrypt");
$this->encrypt->encode($mypassword);

encryptライブラリは、キーとなる文字列を第二引数に指定する事で、
可逆エンコードする事も出来ます。

$key = "this is private key string";

$encoded_password = $this->encrypt->encode($mypassword, $key); // エンコード
$decoded_password = $this->encrypt->decode($encoded_password, $key); //デコード

cf) 暗号化クラス : CodeIgniter ユーザガイド 日本語版

3. SQLインジェクション対策

SQLインジェクション攻撃に備えて、
クライアント側からインプットされた値をDBに渡す前に消毒してやります。

$this->load->database();
$query = $this->db->query("SELECT * FROM users WHERE name = {$this->db->escape($name)}");

また、ActiveRecordクラスを使用する事で
最小限のスクリプティングでDBへアクセスする事が出来ます。
この場合、入力された値のエスケープは自動で行わるので、意識する必要がありません。

$this->load->database();
$query = $this->db->select("*")->from("users")->where("name",$name);

cf) Active Record クラス : CodeIgniter ユーザガイド 日本語版

4. クロスサイトスクリプティング対策

いわゆるXSSという奴です。
この攻撃に備えて、値のインプットとアウトプット両方において
フィルタをかけてやる必要があります。

■インプット

インプットは、$_POSTを使わずに入力クラスを用いて値を受け取りましょう。

$this->input->post("comment", true);

第二引数にtrueを渡す事で、XSSフィルタを入力された値に適用できます。
また、config.phpでの設定で、XSSフィルタリングをデフォルトでかける事が出来ます。

// /system/application/config/config.php
$config['global_xss_filtering'] = TRUE;

これで第二引数がなくともXSSフィルタがかかるようになりました。

単独でフィルタが使いたい場合は、xss_cleanメソッドを使いましょう。

$clean_string = $this->input->xss_clean($string);

■アウトプット

アウトプット時は、PHP組み込みのhtmlspecialcharsを用いるか、

htmlspecialchars($string);

または、CodeIgniterのヘルパ関数による出力をする事で
自動的にフィルタリングがかけられます。

$this->load->helper("url");
echo anchor($url);

5. セッションエンコーディング

CodeIgniterのセッションはPHP組み込みのセッションを使用せず、
独自のセッションデータを生成して利用します。

$this->load->library("session");
$this->session->set_userdata("user_id", 2); //セッションデータの入力
$this->session->userdata("user_id"); //セッションデータの取得

上のように、ログイン状態を保持する場合等に頻繁に使われますが、
cookieを覗いて見ると、user_idの値が丸見えになっていて大変危険です。
これを保護する為に、セッションエンコード用のキー文字列を
config.phpで設定してやりましょう。

// /system/application/config/config.php :
$config['encryption_key'] = "";

デフォルトでは空白なので、なんらかの文字列を入れてあげましょう。

$config['encryption_key'] = "QEE3Ka2A9ABYhY4dU2VIQau8";

» セッションクラス : CodeIgniter ユーザガイド 日本語版

6. PHPのエラー表示を消す

デフォルトがE_ALLになっているので0を入れてあげましょう。

// /index.php :
error_reporting(0);

7. プライベートメソッドを使う

コントローラ内のメソッドは基本的に全てアクセス可能ですが、
プライベートな物としてコントローラの中でのみ使いたい、
そんな時はメソッドの頭にアンダースコアをつけてあげると、
外部からのアクセスが出来なくなり、ブラウザでアクセスしても404となります。

class Hoge extends Controller {
    /* 中略 */
    function public_method (){ // アクセス可能
    }
    function _secret_method (){ // アクセス不可（404）
    }
}

アクセスされる事が好ましくないメソッドは、
プライベートメソッドとして宣言しておきましょう。

以上です。
日々注意しつつ、安全なアプリケーション制作をこころがけましょう！
（と、主に自分に言い聞かせる）