以下是官方文件提供的信息:
有四对不同的 可以是开始和结束标记 用于PHP。其中两个<?php ? > And <script language="php"> </script>, 总是可用的。另外两个 是短标签和ASP风格标签,和 可以打开和关闭从 Php.ini配置文件。因此, 而有些人发现短标签和 ASP样式标签方便,它们都是 便携性较差,而且通常不是 推荐。
根据我的经验,大多数服务器都启用了短标记。打字
<?=
比打字方便多了
<?php echo
程序员的便利性是一个重要因素,那么为什么不推荐他们呢?
当前回答
恕我直言,使用短标签的人经常忘记转义他们所呼应的内容。如果有一个默认转义的模板引擎就好了。我相信Rob A写了一个快速的hack来避免在Zend框架应用程序中的短标签。如果您喜欢短标签,因为它使PHP更容易阅读。那么Smarty是不是一个更好的选择呢?
{$myString|escape}
在我看来,这比
<?= htmlspecialchars($myString) ?>
其他回答
我太喜欢<?=$whatever?>让它去。从来没有问题。我会一直等到它咬到我的屁股。说真的,85%的(我的)客户在极少数情况下可以访问php.ini。另外15%使用主流主机提供商,而且几乎所有的提供商都启用了主流主机提供商。我爱他们。
从PHP 5.4开始,echo快捷方式与短标记是分开的问题,因为echo快捷方式将始终启用。现在这是事实:
SVN由Rasmus Lerdorf修订 邮件列表讨论
因此echo快捷方式本身(<?=)现在可以安全使用了。
如果你关心XSS,那么你应该使用<?= htmlspecialchars(…)?>大多数情况下,所以短标记不会有很大区别。
即使你将echo htmlspecialchars()缩短为h(),它仍然是一个问题,你必须记住几乎每次都要添加它(并试图跟踪哪些数据是预先转义的,这是不可转义的,但无害只会使错误更容易发生)。
我使用默认情况下安全的模板引擎,并写入<?PHP标签。
以下是其美妙的流程图:
来源:关于软件工程堆栈交换的类似问题
< ?在较新版本中默认禁用。您可以像在PHP中启用短标签那样启用它。
