mt_rand() 不安全,因其基于Mersenne Twister算法,仅需624个输出即可预测全部随机数;应改用random_int()生成加密安全整数,或random_bytes()配合编码生成字符串。为什么 mt_rand() 不该再用了它不是加密安全的,生成的随机数能被预测------哪怕你只是用来做密码重置链接里的 token,也够攻击者暴力猜出几百个。PHP 7.0 起官方就明确标记 mt_rand() 为"不适用于密码学场景",但很多人还在用它生成验证码、临时密钥、盐值。根本问题在于:它基于 Mersenne Twister 算法,速度快、分布均匀,但内部状态只有 624 个整数,只要拿到连续 624 个输出,就能完全还原种子并预测后续所有值。线上服务一旦暴露几个 mt_rand() 结果(比如 API 返回的 nonce),风险就实打实存在。random_int() 怎么用才对它是 PHP 唯一推荐的加密安全整数生成函数,直接从操作系统熵源(/dev/urandom 或 CryptGenRandom)读取,不可预测、无状态、无需手动播种。只接受两个参数:random_int(min, max),且必须是整数,不能传浮点或字符串范围包含两端,random_int(1, 6) 可能返回 1 或 6失败时抛出 Exception(不是返回 false),必须 try/catch,否则进程崩掉不要用它生成大范围整数来"模拟"字符串------比如 random_int(0, 999999) 当验证码,位数固定易被枚举;真要字符串,得配合 random_bytes() + 编码示例:立即学习"PHP免费学习笔记(深入)";try { token = random_int(100000, 999999);} catch (Exception e) { // 记日志,别裸 throw error_log('random_int failed: ' . $e->getMessage()); die('Service unavailable');}替代 mt_rand() 时的典型翻车点很多人以为把 mt_rand(1, 100) 换成 random_int(1, 100) 就完事了,结果上线后报错或逻辑异常。 Mokker AI AI产品图添加背景
相关推荐
小马爱打代码1 小时前
Redis 集群方案详解:主从复制、哨兵、脑裂、分片集群和哈希槽lifloveyou2 小时前
table接口结构比昨天多敲两行2 小时前
linux 线程概念与控制海南java第二人2 小时前
ClickHouse 稀疏索引深度解析:为什么 OLAP 数据库不用 B-Tree?Litluecat2 小时前
信创迁移:Oracle切换海量数据库,慢sql扫描消失在人海中3 小时前
Oracle的CURRENT REDO丢失,数据丢失风险分析喵了几个咪3 小时前
选择第三方IAM还是自建权限体系?中小型后台系统权限架构决策指南Warson_L3 小时前
class 扩展Elastic 中国社区官方博客4 小时前
Kibana:使用 AI Chat 及 MCP 轻松创建 AI 原生仪表板