推荐使用 mt_rand() 生成指定范围随机整数,因其基于梅森旋转算法、速度快且随机性好;rand() 已在 PHP 8.1 废弃。安全场景必须用 random_int() 或 random_float()。
用 rand() 和 mt_rand() 生成指定范围的随机整数
PHP 里最常用的两个函数是 rand() 和 mt_rand(),它们都支持传入最小值和最大值来控制范围。但注意:rand() 已在 PHP 8.1 中被标记为废弃,mt_rand() 是当前推荐的替代方案,它基于 Mersenne Twister 算法,速度更快、随机性更好。
常见错误是直接用 rand() % $max 来“缩放”范围,这会导致分布不均(低数值概率偏高),尤其当模数不能整除 RAND_MAX 时。
- 生成 1 到 100 的随机整数:用
mt_rand(1, 100) - 生成 0 到 9 的随机数字(如验证码):用
mt_rand(0, 9) - 不要写
rand() % 100 + 1—— 这不是等概率
生成随机浮点数并限制小数位和范围
PHP 没有内置的“带范围的随机浮点数”函数,必须手动构造。核心思路是先生成 [0, 1) 区间的浮点数,再线性映射到目标区间,最后四舍五入控制精度。
关键点在于:用 lcg_value()(线性同余生成器)比 rand() 转浮点更合理,但它不接受范围参数;更稳妥的做法是用 mt_rand() 模拟高精度浮点,避免浮点误差累积。
- 生成 1.5 到 9.9 之间、保留一位小数的随机浮点数:
round(mt_rand(15, 99) / 10, 1)
- 生成 [0.0, 1.0) 区间浮点数(标准做法):
lcg_value()
- 若需更高可重现性或加密场景,应改用
random_float()(PHP 7.2+):random_float(1.5, 9.9)
random_int() 和 random_bytes() 用于安全敏感场景
当随机数用于密码、Token、盐值等安全关键用途时,绝不能用 mt_rand() 或 rand() —— 它们是伪随机,可被预测。必须使用 CSPRNG(密码学安全伪随机数生成器)函数。
random_int() 是 PHP 7+ 提供的安全整数生成器,内部调用操作系统级熵源(如 /dev/urandom),失败时会抛出 Exception,不可静默降级。
- 生成安全的 6 位短信验证码:
str_pad(random_int(0, 999999), 6, '0', STR_PAD_LEFT)
- 生成 16 字节随机 Token:
bin2hex(random_bytes(16))
- 不能对
random_int()的结果做模运算来“调整范围”,可能引入偏差;应重试或用拒绝采样
不同 PHP 版本下函数可用性与兼容性陷阱
很多线上环境仍是 PHP 7.0 或 7.1,而 random_int() 和 random_bytes() 在
paragonie/random_compat 兼容库。但要注意:该库在 PHP 5.6 下通过用户空间模拟,性能较差且不如原生可靠。
另一个易忽略点是 mt_rand() 在 PHP 7.1+ 默认使用更安全的种子初始化方式,而旧版本需手动调用 mt_srand()(不推荐,除非你明确知道为什么)。
- 检查是否支持安全函数:
function_exists('random_int') - PHP 5.6 项目中,composer require paragonie/random_compat 是必要步骤
- 不要在循环里反复调用
mt_srand(time())—— 这会让多次调用产生相同序列
mt_rand();密码重置链接 Token 必须用 random_int();而小数精度要求高又不涉密的场景,优先考虑 random_float()。别让“能跑通”掩盖了分布偏差或安全漏洞。
