Para validar el texto ingresado por el usuario en un textbox busco, entre otras cosas, las cadenas 'script' y '<?'. Esto con la intención de evitar que introduzca códigos de JS y de PHP. Obviamente, vuelvo a validar la cadena desde PHP, pero me gustaría validarla antes en JS.

Lo hago de esta forma:

var texto = document.getElementById("textbox").innerHTML;
var minuscula = texto.toLowerCase();
 
if (minuscula.indexOf('script') > -1)
    aler("CADENA INVALIDA");
 
if (minuscula.indexOf('<?') > -1)
    aler("CADENA INVALIDA");

La búsqueda de 'script' funciona perfectamente, pero cuando introduzco la cadena <? no la detecta.

¿Como puedo validar el texto y evitar que se introduzca código de PHP?

Gracias de antemano.

Mod: Utilizar etiquetas GeSHi para código.

textbox es contenteditable. Es una área para que el usuario pueda capturar texto con algo de formato HTML.

MIl gracias. Funciona perfectamente como me sugeriste.