如果你关心XSS，那么你应该使用<?= htmlspecialchars(…)?>大多数情况下，所以短标记不会有很大区别。

即使你将echo htmlspecialchars()缩短为h()，它仍然是一个问题，你必须记住几乎每次都要添加它(并试图跟踪哪些数据是预先转义的，这是不可转义的，但无害只会使错误更容易发生)。

我使用默认情况下安全的模板引擎，并写入<?PHP标签。

php中有3个标签:

<?PHP ?>不需要任何配置指令 Short_open_tag <??如果short_open_tag选项在 Php.ini已打开 缩短标签<?=自PHP 5.4.0以来，它总是可用的

从PHP 7.0.0删除asp和script标签

短标签在某些web服务器(共享主机等)中默认是不开启的，所以如果你需要转移到这些服务器上，代码可移植性就成了一个问题。 对某些人来说，可读性可能是个问题。许多开发人员可能会发现<?PHP作为代码块的开始标记比<?当你扫描一个文件时，特别是当你被HTML和PHP紧密交织在一起的代码库困住时。

有人会问使用短标签的意义是什么。

打字更快

MDCore说:

<？=比输入<?php echo

是的，它是。你不必在整个脚本中键入7个字符* X次。

然而，当一个脚本需要一个小时，或10个小时，或更多的时间来设计、开发和编写，那么在脚本的整个过程中，这几秒钟没有在这里和那里输入那7个字符的时间又有什么关系呢?

相比之下，如果短标签没有打开，或正在打开，但更新或有人更改ini文件/服务器配置，可能会导致一些核心或所有脚本无法工作，其他可能性。

您获得的小好处并不能抵消潜在问题的严重性，即您的站点无法工作，或者更糟，只有部分无法工作，因此需要解决的问题令人头痛。

更容易阅读

这取决于熟悉程度。 我总是看到并使用<?php echo。所以当<?=并不难读，只是我不熟悉，所以不容易读。

如果前端和后端开发人员分开(就像大多数公司一样)，那么前端开发人员是否会更熟悉这些模板?=等于“PHP打开标签和回声”? 我想说大多数人会觉得更合乎逻辑的答案更舒服。也就是说，一个明确的PHP打开标记然后发生了什么"echo" - <?php echo。

风险评估 问题=整个网站或核心脚本无法工作;

发生问题的可能性非常低+结果的严重程度非常高=高风险

结论

你可以在这里节省几秒钟，而不必输入几个字符，但为此冒了很大的风险，结果也可能会失去可读性。

前端或后端程序员熟悉<?=更容易理解<?php echo，因为它们是标准的php东西- standard <?PHP打开标签和众所周知的“echo”。 (即使是前端程序员也应该知道“echo”，否则他们根本不会在框架提供的任何代码上工作)。

然而相反的情况就不太可能发生了，有人不太可能从逻辑上推断出PHP短标记上的等号是“echo”。

PHP短标记(<?)和快速回显标记(<?=)之间必须有明确的区别。

前者是PHP编码标准所禁止的，主要是出于常识，因为如果您必须将代码移到不支持它的服务器上(并且您不能启用它)，那么它就是一个PITA。正如你所说，许多共享主机确实支持短标签，但“许多”并不是全部。如果您希望共享脚本，最好使用完整的语法。

而简略的回显标记<?=不能禁用，因此完全可以使用。

我同意<?对程序员来说比<?PHP，但只要每次使用相同的表单，就可以进行批量查找和替换。

我根本不认为可读性是一个理由。大多数认真的开发人员都可以选择语法高亮显示。

正如ThiefMaster在评论中提到的，从PHP 5.4开始，<?=……?>标签在任何地方都被支持，不管shortttags设置如何。这应该意味着在可移植代码中使用它们是安全的，但这也意味着依赖于PHP 5.4+。如果你想支持5.4版本之前的版本，并且不能保证短标签，你仍然需要使用<?PHP回显…? >。

此外，您还需要知道ASP标记<%、%>、<%=和script标记已从PHP 7中删除。因此，如果您想要支持长期可移植的代码，并想要切换到最现代的工具，请考虑更改这部分代码。

http://uk3.php.net/manual/en/language.basic-syntax.phpmode.php上有很多建议，包括:

而有些人发现短标签和 ASP样式标签方便，它们都是 便携性较差，而且通常不是 推荐。

and

如果您正在嵌入PHP，请注意 在XML或XHTML中 使用<?保留PHP ?>标记 符合标准。

and

应该避免使用短标签 在开发应用程序或 用于 重新分配，或者在PHP上部署 不属于你的服务器 控件，因为短标记可能不是 目标服务器支持。为 可移植的、可重新分发的代码 不要使用短标签。