rand()和mt_rand()生成闭区间随机数,上下限均包含;安全场景必须用random_int(),它基于加密随机源且不自动交换参数。
rand() 生成的数字范围容易搞反
很多人以为 rand(1, 10) 是“从 1 到 10(不含 10)”,其实它是闭区间:包含 1,也包含 10。php 的 rand() 和 mt_rand() 都是“上下限都包含”的行为。
- 要生成 1~9(不含 10),得写
rand(1, 9),不是rand(1, 10 - 1)这种绕弯写法 - 如果传入
rand(5, 3),PHP 会自动交换参数,返回rand(3, 5)的结果——但这是隐式行为,不建议依赖 - 注意:PHP 8.1 起
rand()已被标记为 deprecated,官方推荐用mt_rand()或更现代的random_int()
需要密码学安全?别用 rand 或 mt_rand
如果你在生成重置 Token、API 密钥、临时验证码这类对安全性有要求的整数,rand() 和 mt_rand() 都不行——它们是伪随机,可预测。
- 必须改用
random_int($min, $max),它基于操作系统的加密随机源(如/dev/urandom) -
random_int()只接受整型参数,不支持浮点;且当$min > $max时直接报致命错误,不会自动纠正 - 示例:生成 6 位短信验证码,应写
random_int(100000, 999999),而不是rand(100000, 999999)
性能差异小,但 mt_rand() 更快更均匀
在非安全场景下(比如模拟抽奖、测试数据填充),mt_rand() 比 rand() 更值得用,不是因为“更随机”,而是实际表现更稳。
-
mt_rand()基于 Mersenne Twister 算法,周期长(2^19937−1),分布更均匀,尤其在大量调用时不容易出现偏差 - 性能上,
mt_rand()在 PHP 7+ 中比rand()快约 2–3 倍,但单次调用差异几乎不可测 - PHP 7.2+ 开始,
mt_rand()默认启用“固定种子”模式(MT_RAND_PHP),与旧版本行为一致;如需更强随机性,可显式调用mt_srand(NULL, MT_RAND_SECURE)(不过一般没必要)
常见错误:忘记检查参数类型或范围
传错参数类型或越界,PHP 不一定立刻报错,但结果可能出人意料。
立即学习“PHP免费学习笔记(深入)”;
-
rand("1", "10")会静默转成rand(1, 10),但字符串含非数字字符(如"1a")会转成 0,导致rand(0, 0)→ 永远返回 0 -
random_int(1, PHP_INT_MAX)在 32 位系统上可能触发溢出警告,因为PHP_INT_MAX是 2147483647,而random_int()内部做差值运算,容易超 int 范围 - 最稳妥的做法:始终用整数字面量,或先 cast:
$min = (int)$min; $max = (int)$max;,再传给函数
事情说清了就结束。真正要注意的其实是两点:安全场景必须换 random_int(),以及所有函数的上下限都是包含的——这个“包含”很容易在边界测试时漏掉。