mt_rand() 是当前唯一推荐的选择。rand() 自 php 8.1 起被弃用、8.4 将移除,因其基于弱随机算法、周期短、易预测;mt_rand() 基于 mersenne twister,周期长、自动播种、性能更优,且支持闭区间整数范围(含负数);安全场景须用 random_int()。
rand() 和 mt_rand() 哪个该用?
直接说结论:mt_rand() 是当前唯一推荐的选择。rand() 在 PHP 8.1 起已被弃用,8.4 将彻底移除;它底层用的是系统级线性同余算法,随机性弱、周期短、易被预测,连简单抽奖都不够安全。
常见错误现象:用 rand(1, 100) 做用户抽奖,结果连续几次抽中同一数字;或在并发请求下大量重复值——这不是“运气差”,是算法本身缺陷。
-
rand()不接受seed参数(PHP 7.1+ 后完全忽略srand()) -
mt_rand()基于 Mersenne Twister,周期长达 219937−1,且默认自动播种,无需手动调mt_srand() - 性能上,
mt_rand()实际比rand()更快(尤其在现代 PHP 版本中)
怎么生成指定范围的随机整数?
关键点:边界是否包含、参数顺序、负数支持。
mt_rand() 的两个参数是 min 和 max,且两端都**闭区间包含**。这是和很多语言(比如 JavaScript 的 Math.random())最易混淆的地方。
立即学习“PHP免费学习笔记(深入)”;
- 要生成 1–10 的整数,写
mt_rand(1, 10),不是mt_rand(0, 9) + 1 - 支持负数:
mt_rand(-5, 5)是合法的,会返回 -5 到 5 之间的任意整数(含 -5 和 5) - 如果
min > max,PHP 会抛出Warning: mt_rand(): min > max错误,不会自动交换 - 不传参时(
mt_rand()),返回 0 到getrandmax()之间的整数;但这个上限因平台而异(Windows 通常为 32767,Linux 可达 2147483647),不可靠,应显式传参
为什么用 rand() 会出现重复或序列可预测?
根本原因在于 rand() 的实现依赖 libc 的 rand() 函数,而多数 C 标准库用的是简单线性同余生成器(LCG),状态只有 32 位,周期约 232,且输出分布有明显低位周期性——比如只取模 2 或 4,结果会快速循环。
典型场景:用 rand() % 2 模拟抛硬币,连续 10 次全是 0;或在 for 循环里反复调 rand(1, 6) 模拟掷骰子,发现每 16 次就出现一次固定模式。
- 即使手动调
srand(time()),也无法解决内在偏差,因为时间戳秒级精度太低,多进程/容器环境下极易撞 seed -
mt_rand()内部使用 32 位状态数组 + 复杂搅拌逻辑,低位和高位同样均匀,实测通过 Dieharder 等统计测试集 - 如果你真需要密码学安全的随机数(如生成 token、盐值),这两个都不行——得用
random_int()
替代方案:什么时候该换 random_int()?
当随机数用于安全敏感场景时,mt_rand() 仍不够格。它快、均匀,但**可被观测状态反推后续输出**——攻击者只要拿到足够多输出,就能重建内部状态。
典型错误场景:用 mt_rand() 生成重置密码链接里的 token;用它决定支付订单的“幸运折扣”并对外暴露了生成逻辑。
-
random_int($min, $max)是 PHP 7+ 内置函数,基于操作系统 CSPRNG(/dev/urandom或 CryptGenRandom) - 它慢一点,但无法预测、不可重现,适合 session ID、CSRF token、加密盐值等
- 注意:
random_int()不支持 float,且$min/$max必须是整数;超出PHP_INT_MIN/PHP_INT_MAX会报错 - 不要试图用
random_int()替代mt_rand()做高频非安全用途(如游戏帧随机、数据脱敏打乱),会拖慢吞吐
真正复杂的地方不在函数选哪个,而在你有没有分清:这个随机数,是给机器看的,还是可能被人盯上的。
