mt_rand() 不安全,因其基于Mersenne Twister算法,仅需624个输出即可预测全部随机数;应改用random_int()生成加密安全整数,或random_bytes()配合编码生成字符串。为什么 mt_rand() 不该再用了它不是加密安全的,生成的随机数能被预测------哪怕你只是用来做密码重置链接里的 token,也够攻击者暴力猜出几百个。PHP 7.0 起官方就明确标记 mt_rand() 为"不适用于密码学场景",但很多人还在用它生成验证码、临时密钥、盐值。根本问题在于:它基于 Mersenne Twister 算法,速度快、分布均匀,但内部状态只有 624 个整数,只要拿到连续 624 个输出,就能完全还原种子并预测后续所有值。线上服务一旦暴露几个 mt_rand() 结果(比如 API 返回的 nonce),风险就实打实存在。random_int() 怎么用才对它是 PHP 唯一推荐的加密安全整数生成函数,直接从操作系统熵源(/dev/urandom 或 CryptGenRandom)读取,不可预测、无状态、无需手动播种。只接受两个参数:random_int(min, max),且必须是整数,不能传浮点或字符串范围包含两端,random_int(1, 6) 可能返回 1 或 6失败时抛出 Exception(不是返回 false),必须 try/catch,否则进程崩掉不要用它生成大范围整数来"模拟"字符串------比如 random_int(0, 999999) 当验证码,位数固定易被枚举;真要字符串,得配合 random_bytes() + 编码示例:立即学习"PHP免费学习笔记(深入)";try { token = random_int(100000, 999999);} catch (Exception e) { // 记日志,别裸 throw error_log('random_int failed: ' . $e->getMessage()); die('Service unavailable');}替代 mt_rand() 时的典型翻车点很多人以为把 mt_rand(1, 100) 换成 random_int(1, 100) 就完事了,结果上线后报错或逻辑异常。 Mokker AI AI产品图添加背景
相关推荐
Aision_3 小时前
从工具调用到 MCP、Skill完整学习记录辞旧 lekkk7 小时前
【Qt】信号和槽2301_809204708 小时前
JavaScript中严格模式use-strict对引擎解析的辅助.txtzjy277778 小时前
mysql如何选择合适的索引类型_mysql索引设计实战Aaswk8 小时前
Java Lambda 表达式与流处理笨蛋不要掉眼泪9 小时前
Mysql架构揭秘:update语句的执行流程万邦科技Lafite9 小时前
京东item_get接口实战案例:实时商品价格监控全流程解析秋910 小时前
ruoyi项目更换为mysql9.7.0数据库Andya_net10 小时前
MySQL | MySQL 8.0 权限管理实践-精确赋予库、表只读等权限Cyber4K10 小时前
【Python专项】进阶语法-系统资源监控与数据采集(1)