PHP随机数生成：rand与mt_rand全面解析

PHP开发者必须摒弃过时的rand()函数——它因弱随机性、短周期和易预测性已在8.1版本被正式弃用、8.4将彻底移除；当前非安全场景下唯一推荐的是mt_rand()，它基于高性能Mersenne Twister算法，自动播种、支持闭区间（含负数）、实测更快速且统计均匀；但若涉及密码学安全需求（如token、盐值、重置链接），则必须升级为random_int()——因为它依托操作系统级加密随机源，不可预测、不可重现。真正关键的不是语法细节，而是清醒判断：这个随机数，是供程序内部使用的“机器随机”，还是可能暴露在攻击者视野下的“人类靶标”。

rand() 和 mt_rand() 哪个该用？

直接说结论：mt_rand() 是当前唯一推荐的选择。rand() 在 PHP 8.1 起已被弃用，8.4 将彻底移除；它底层用的是系统级线性同余算法，随机性弱、周期短、易被预测，连简单抽奖都不够安全。

常见错误现象：用 rand(1, 100) 做用户抽奖，结果连续几次抽中同一数字；或在并发请求下大量重复值——这不是“运气差”，是算法本身缺陷。

• rand() 不接受 seed 参数（PHP 7.1+ 后完全忽略 srand()）
• mt_rand() 基于 Mersenne Twister，周期长达 2¹⁹⁹³⁷−1，且默认自动播种，无需手动调 mt_srand()
• 性能上，mt_rand() 实际比 rand() 更快（尤其在现代 PHP 版本中）

怎么生成指定范围的随机整数？

关键点：边界是否包含、参数顺序、负数支持。

mt_rand() 的两个参数是 min 和 max，且两端都**闭区间包含**。这是和很多语言（比如 JavaScript 的 Math.random()）最易混淆的地方。

• 要生成 1–10 的整数，写 mt_rand(1, 10)，不是 mt_rand(0, 9) + 1
• 支持负数：mt_rand(-5, 5) 是合法的，会返回 -5 到 5 之间的任意整数（含 -5 和 5）
• 如果 min > max，PHP 会抛出 Warning: mt_rand(): min > max 错误，不会自动交换
• 不传参时（mt_rand()），返回 0 到 getrandmax() 之间的整数；但这个上限因平台而异（Windows 通常为 32767，Linux 可达 2147483647），不可靠，应显式传参

为什么用 rand() 会出现重复或序列可预测？

根本原因在于 rand() 的实现依赖 libc 的 rand() 函数，而多数 C 标准库用的是简单线性同余生成器（LCG），状态只有 32 位，周期约 2³²，且输出分布有明显低位周期性——比如只取模 2 或 4，结果会快速循环。

典型场景：用 rand() % 2 模拟抛硬币，连续 10 次全是 0；或在 for 循环里反复调 rand(1, 6) 模拟掷骰子，发现每 16 次就出现一次固定模式。

• 即使手动调 srand(time())，也无法解决内在偏差，因为时间戳秒级精度太低，多进程/容器环境下极易撞 seed
• mt_rand() 内部使用 32 位状态数组 + 复杂搅拌逻辑，低位和高位同样均匀，实测通过 Dieharder 等统计测试集
• 如果你真需要密码学安全的随机数（如生成 token、盐值），这两个都不行——得用 random_int()

替代方案：什么时候该换 random_int()？

当随机数用于安全敏感场景时，mt_rand() 仍不够格。它快、均匀，但**可被观测状态反推后续输出**——攻击者只要拿到足够多输出，就能重建内部状态。

典型错误场景：用 mt_rand() 生成重置密码链接里的 token；用它决定支付订单的“幸运折扣”并对外暴露了生成逻辑。

• random_int($min, $max) 是 PHP 7+ 内置函数，基于操作系统 CSPRNG（/dev/urandom 或 CryptGenRandom）
• 它慢一点，但无法预测、不可重现，适合 session ID、CSRF token、加密盐值等
• 注意：random_int() 不支持 float，且 $min/$max 必须是整数；超出 PHP_INT_MIN/PHP_INT_MAX 会报错
• 不要试图用 random_int() 替代 mt_rand() 做高频非安全用途（如游戏帧随机、数据脱敏打乱），会拖慢吞吐

真正复杂的地方不在函数选哪个，而在你有没有分清：这个随机数，是给机器看的，还是可能被人盯上的。

今天关于《PHP随机数生成：rand与mt_rand全面解析》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！