php 7.0+ 推荐用 random_int() 生成加密安全的随机整数,如 random_int(1, 100);生成不重复数小范围用 range+shuffle,大范围用哈希去重采样并设重试上限。
用 random_int() 生成指定范围的随机整数
PHP 7.0+ 推荐用 random_int(),它基于加密安全的随机源,比 rand() 或 mt_rand() 更可靠,尤其在需要防预测的场景(比如生成 token、验证码种子)。
常见错误是直接用 rand($min, $max)——它不安全,且在 PHP 8.1+ 已被标记为废弃;还有人误以为 mt_rand() 能保证“真随机”,其实它只是更快的伪随机,不适合安全敏感用途。
-
random_int(1, 100)返回 1 到 100 之间的闭区间整数(含两端) - 参数必须是整数,传浮点或字符串会抛出
TypeError - 如果
$min > $max,会直接报错Exception: min must be less than or equal to max - 性能上略慢于
mt_rand(),但对绝大多数业务请求(如单次生成 ID、抽奖号码)无感知
生成不重复的 N 个随机整数(小范围可用)
当你要生成「5 个 1–20 之间互不重复的整数」,最直觉的做法是循环 + in_array() 去重,但效率差、可能卡死(尤其范围接近要求数量时)。
更稳妥的方式是先构造完整候选池,再打乱抽样:
立即学习“PHP免费学习笔记(深入)”;
array_values(array_slice(
shuffle_assoc(range(1, 20)),
0,
5
))但注意:shuffle_assoc() 不是内置函数,得自己写或改用 shuffle() 配合 range():
- 用
$nums = range(1, 20); shuffle($nums); array_slice($nums, 0, 5);—— 简洁、可读、无重复风险 - 适用前提:候选总数不能远大于内存承受能力(比如生成 10 个不重复数,范围是 1–100 万,
range()就会分配百万级数组,不推荐) - 如果范围极大(如 1–10⁹ 中取 10 个),就得换策略:用集合记录已生成值 + 循环重试,但需加最大重试次数保护,避免死循环
生成大范围不重复整数(避免内存爆炸)
当 range($min, $max) 会创建超大数组(比如 range(1, 10000000) 占几百 MB 内存),就不能靠预生成+打乱了。
此时用「采样 + 哈希去重」更实际:
- 初始化空数组
$seen = []和结果数组$result = [] - 循环直到
count($result) === $need,每次调用$n = random_int($min, $max) - 用
isset($seen[$n])判断是否已存在(比in_array()快得多) - 加一个计数器,超过
$need * 10次重试就报错——防止极端情况(如要 999 个不重复数,范围却只有 1000)卡住 - 注意:PHP 数组键自动转整型,所以
$n是整数时$seen[$n] = true安全;若范围含负数,也完全支持
为什么不用 array_unique() 配合 array_map('mt_rand', ...)
有人图省事写 array_unique(array_map(fn() => mt_rand(1, 10), range(1, 5))),看着短,但隐患多。
问题在于:它不保证最终数量。比如想取 5 个不重复数,结果因碰撞只剩 3 个,还得补;而且 mt_rand() 不安全,若用于权限相关逻辑(如生成临时访问码),可能被预测。
- 返回数组长度不确定,必须后续检查并循环补足,逻辑变复杂
- 没有重试上限,极端碰撞下可能无限循环(虽然概率极低)
- 混合使用
mt_rand()和random_int()容易让团队误以为“都一样”,埋下安全认知偏差 - 真正需要不重复 + 安全 + 可控数量时,老老实实走「采样+哈希查重」或「预生成+打乱」更靠谱
边界情况最容易被忽略:比如生成 100 个 1–100 的不重复数,本质就是洗牌,但若没意识到这点,硬套重试逻辑,就会在最后一次反复撞墙。这时候,range() + shuffle() 不仅快,还稳。
