Одно из значений с помощью веб-служб развязки клиента от реализации услуг. В вашем случае это означает, что REST аннулирует детали запросов Cypher, которые Neo4jPHP делает от вашего имени. Таким образом, ответственность за предотвращение инъекций лежит на Neo4jPHP. Это деталь реализации. Вы не должны возиться с этим, даже если хотите.
Ситуация другая, если вы сами делали запросы Cypher. Тогда вы будете использовать параметры, как это:
query = "START n=node(*) WHERE n={search} RETURN n"
db.query query, {search: "userProvidedValue"}
Я предлагаю вам написать на форумах Neo4jPHP, чтобы гарантировать, что они действительно взяли эти меры предосторожности при написании параметризованных запросов Cypher. Или look at the source и убедитесь сами.