htmlspecialchars(@)を使うと消せる。
$_POST['ExCmd']
↓
htmlspecialchars(@$_POST['ExCmd'])
どうやら、$_POSTや$_GET等のユーザからの値を直接HTMLに出力するのは
セキュリティ的に問題があるという警告で、
htmlspecialchars()等を使用するとよいらしい。
http://xoopscube.jp/modules/xhnewbb/viewtopic.php?topic_id=5305
その他