从PHP 5.4开始，echo快捷方式与短标记是分开的问题，因为echo快捷方式将始终启用。现在这是事实:

SVN由Rasmus Lerdorf修订 邮件列表讨论

因此echo快捷方式本身(<?=)现在可以安全使用了。

从PHP 5.4开始，echo快捷方式与短标记是分开的问题，因为echo快捷方式将始终启用。现在这是事实:

SVN由Rasmus Lerdorf修订 邮件列表讨论

因此echo快捷方式本身(<?=)现在可以安全使用了。

把< ?(不带尾随空格)到<?PHP(后面有一个空格):

find . -name "*.php" -print0 | xargs -0 perl -pi -e 's/<\?(?!php|=|xml|mso| )/<\?php /g'

把< ?(后面有空格)到<?PHP(保留尾随空格):

find . -name "*.php" -print0 | xargs -0 perl -pi -e 's/<\? /<\?php /g'

如果你关心XSS，那么你应该使用<?= htmlspecialchars(…)?>大多数情况下，所以短标记不会有很大区别。

即使你将echo htmlspecialchars()缩短为h()，它仍然是一个问题，你必须记住几乎每次都要添加它(并试图跟踪哪些数据是预先转义的，这是不可转义的，但无害只会使错误更容易发生)。

我使用默认情况下安全的模板引擎，并写入<?PHP标签。

有人会问使用短标签的意义是什么。

打字更快

MDCore说:

<？=比输入<?php echo

是的，它是。你不必在整个脚本中键入7个字符* X次。

然而，当一个脚本需要一个小时，或10个小时，或更多的时间来设计、开发和编写，那么在脚本的整个过程中，这几秒钟没有在这里和那里输入那7个字符的时间又有什么关系呢?

相比之下，如果短标签没有打开，或正在打开，但更新或有人更改ini文件/服务器配置，可能会导致一些核心或所有脚本无法工作，其他可能性。

您获得的小好处并不能抵消潜在问题的严重性，即您的站点无法工作，或者更糟，只有部分无法工作，因此需要解决的问题令人头痛。

更容易阅读

这取决于熟悉程度。 我总是看到并使用<?php echo。所以当<?=并不难读，只是我不熟悉，所以不容易读。

如果前端和后端开发人员分开(就像大多数公司一样)，那么前端开发人员是否会更熟悉这些模板?=等于“PHP打开标签和回声”? 我想说大多数人会觉得更合乎逻辑的答案更舒服。也就是说，一个明确的PHP打开标记然后发生了什么"echo" - <?php echo。

风险评估 问题=整个网站或核心脚本无法工作;

发生问题的可能性非常低+结果的严重程度非常高=高风险

结论

你可以在这里节省几秒钟，而不必输入几个字符，但为此冒了很大的风险，结果也可能会失去可读性。

前端或后端程序员熟悉<?=更容易理解<?php echo，因为它们是标准的php东西- standard <?PHP打开标签和众所周知的“echo”。 (即使是前端程序员也应该知道“echo”，否则他们根本不会在框架提供的任何代码上工作)。

然而相反的情况就不太可能发生了，有人不太可能从逻辑上推断出PHP短标记上的等号是“echo”。

当您使用具有单独视图文件的MVC框架或CMS时，使用它们是很好的。它速度快，代码少，不会让设计师感到困惑。只要确保您的服务器配置允许使用它们即可。