如果你关心XSS，那么你应该使用<?= htmlspecialchars(…)?>大多数情况下，所以短标记不会有很大区别。

即使你将echo htmlspecialchars()缩短为h()，它仍然是一个问题，你必须记住几乎每次都要添加它(并试图跟踪哪些数据是预先转义的，这是不可转义的，但无害只会使错误更容易发生)。

我使用默认情况下安全的模板引擎，并写入<?PHP标签。

一种稍有不同的情况是在开发CodeIgniter应用程序时。CodeIgniter似乎在模板/视图中使用PHP时使用短标签，否则在模型和控制器中它总是使用长标签。这并不是框架中的硬性规则，但在大多数情况下，框架和许多来自其他用途的源代码都遵循这一约定。

我的意见?如果您从未打算在其他地方运行这些代码，那么如果您愿意，可以使用它们。当我意识到这是一个愚蠢的想法时，我宁愿不做大量的搜索和替换。

注意:从PHP 5.4开始，短标记<?=，现在总是可用。

把< ?(不带尾随空格)到<?PHP(后面有一个空格):

find . -name "*.php" -print0 | xargs -0 perl -pi -e 's/<\?(?!php|=|xml|mso| )/<\?php /g'

把< ?(后面有空格)到<?PHP(保留尾随空格):

find . -name "*.php" -print0 | xargs -0 perl -pi -e 's/<\? /<\?php /g'

PHP短标记(<?)和快速回显标记(<?=)之间必须有明确的区别。

前者是PHP编码标准所禁止的，主要是出于常识，因为如果您必须将代码移到不支持它的服务器上(并且您不能启用它)，那么它就是一个PITA。正如你所说，许多共享主机确实支持短标签，但“许多”并不是全部。如果您希望共享脚本，最好使用完整的语法。

而简略的回显标记<?=不能禁用，因此完全可以使用。

我同意<?对程序员来说比<?PHP，但只要每次使用相同的表单，就可以进行批量查找和替换。

我根本不认为可读性是一个理由。大多数认真的开发人员都可以选择语法高亮显示。

正如ThiefMaster在评论中提到的，从PHP 5.4开始，<?=……?>标签在任何地方都被支持，不管shortttags设置如何。这应该意味着在可移植代码中使用它们是安全的，但这也意味着依赖于PHP 5.4+。如果你想支持5.4版本之前的版本，并且不能保证短标签，你仍然需要使用<?PHP回显…? >。

此外，您还需要知道ASP标记<%、%>、<%=和script标记已从PHP 7中删除。因此，如果您想要支持长期可移植的代码，并想要切换到最现代的工具，请考虑更改这部分代码。

我太喜欢<?=$whatever?>让它去。从来没有问题。我会一直等到它咬到我的屁股。说真的，85%的(我的)客户在极少数情况下可以访问php.ini。另外15%使用主流主机提供商，而且几乎所有的提供商都启用了主流主机提供商。我爱他们。