php随机函数mt_rand()产生的小问题大漏洞

最新推荐文章于 2024-05-19 21:26:12 发布
最新推荐文章于 2024-05-19 21:26:12 发布
阅读量4.4k 收藏 6
点赞数
文章标签: php
原文链接:http://blog.51cto.com/12332766/2320416
版权

**说到随机函数的应用,作为一个菜鸟,理解的也不是很深刻,在这里之作为一个笔记来记录,以后慢慢将其掌握之后,再在内容上面进行加深。

随机函数的作用,常常是用来生成验证码、随机文件名、订单号,如果用来做安全验证的话常常用来生成加密key、token等等。**

一、常见的随机函数

1、rand()
常用的随机函数,默认生成0-getrandmax()之间的随机数,不过因为性能问题,已经被mt_rand()函数替代
相关函数:
rand(int $min,int $max)
srand(int $seed),生成时间种子,同一个时间种子下随机生成的随机数值是相同的。
getrandmax()获取最大随机数,这里获取的随机数会随系统的不同而不同。如linux最大2147483647
2、mt_rand
常用的随机函数,默认生成0-mt_getrandmax()之间的随机数, Mersenne Twister 算法生成随机整数
相关函数:
mt_srand(),生成种子,同一个种子下随机生成的随机数值是相同的。
该函数是产生随机值的更好选择,返回结果的速度是 rand() 函数的 4 倍(手册是是这么写的),我个人并不认同的,我感觉他说的4倍是很多年前的事了。因为mt_rand()使用的Mersenne Twister algorythm是1997的事,所以在很多年前,和rand()在速度上的差异可能是(4倍),自2004年,rand()已经开始使用algorythm,所以现在它们速度上没有太大的区别.
有时候手册也是骗人的,就像一会要说的这个函数造成的问题。
3、uniqid()
生成唯一ID的函数,精确到了微妙,较mt_rand精确。适用场景生成token和生成uuid
具体细节没做研究
4、openssl_random_pseudo_bytes()
适用于生成token,具体详情没做研究

二、mt_rand()函数造成的问题所在

--
今天重点记录一下mt_rand带来的问题,和在CTF中的具体解法。对于这个函数的介绍是有两个版本的,一个是英文版,一个是中文版

最低0.47元/天 解锁文章
weixin_34255793
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php随机整数randmt_rand,PHP随机函数rand()与mt_rand()的讲解
weixin_42097450的博客
03-26 3036
PHP随机函数rand()与mt_rand()的讲解PHPrand()与mt_rand()都是用于产生一个指定范围内单独随机数的函数,如果需要产生多个不重复的随机数,请参考:PHP生成指定范围内的N个不重复的随机数。既然他们都是用于产生一个随机数,那么他们有什么区别呢?rand()函数默认使用 libc 随机数发生器,很多老的 libc 的随机数发生器具有一些不确定和未知的特性而且效率很低;m...
php随机漏洞利用
L1ni01
10-10 806
php随机数 相关函数 mt_rand() mt_rand函数有两个可选参数 min 和 max,如果没有提供可选参数,mt_rand函数将返回返回 0 到 mt_getrandmax() 之间的伪随机数。例如想要 5 到 15(包括 5 和 15)之间的随机数,用 mt_rand(5, 15)。 mt_srand() 用于播下一个更好的随机数发生器种子,用 seed 来给随机数发生器播种。 没有设定 seed 参数时,会被设为随时数。自 PHP 4.2.0 起,不再需要用 srand() 或 mt_sr
Rand()大法骗分喽()
最新发布
Salute
05-19 287
【代码】Rand()大法骗分喽()
PHP随机数 | mt_rant()的浅分析
crispr的博客
02-14 1125
mt_rand()工作原理 这里引用一下php手册 mt_rand( void) : int mt_rand( int $min, int $max) : int 很多老的 libc 的随机数发生器具有一些不确定和未知的特性而且很慢。PHPrand() 函数默认使用 libc 随机数发生器。mt_rand() 函数是非正式用来替换它的。该函数用了 » Mersenne Twister 中...
phpmt_rand随机漏洞
BrosyveryOK的博客
09-26 1621
php随机漏洞由于 mt_srand(seed) 函数mt_rand() 函数产生。在执行 mt_rand() 函数生成随机数之前,先要执行 mt_srand() 函数分发种子,使 mt_rand(seed) 函数能够生成随机数,但是此处生成的随机数实际上是伪随机的。
phpmt_rand,phpmt_rand()随机函数用法_PHP
weixin_42342010的博客
03-29 629
本文实例讲述了phpmt_rand()随机函数用法。分享给大家供大家参考。具体分析如下:mt_rand() 使用 mersenne twister 算法返回随机整数.语法:mt_rand(min,max)说明:如果没有提供可选参数 min 和 max,mt_rand() 返回 0 到 rand_max 之间的伪随机数,例如想要 5 到 15(包括 5 和 15)之间的随机数,用 mt_rand...
mt_rand()伪随机漏洞
yuaneuro的博客
11-27 1639
最近在做一道关于种子爆破的题目,有关mt_rand()这个函数,也是我的第一篇博客 伪随机数 所谓伪随机数,可以理解为可预测性的,生成伪随机数是线性的,比如mt_rand()这个函数,如果知道他的分发seed种子,然后种子有了后,靠mt_rand()生成随机数。 题目 关键代码 <?php #这不是抽奖程序的源代码!不许看! header("Content-Type: text/html;...
php随机函数mt_rand()与rand()性能对比分析
10-25
主要介绍了php随机函数mt_rand()与rand()性能对比分析,较为详细的分析了两个函数的具体用法,并以实例形式分析了在不同平台下的运行效率问题,需要的朋友可以参考下
phpmt_rand()随机函数用法
10-25
PHP编程语言中,`mt_rand()` 是一个非常重要的随机数生成函数,它使用 Mersenne Twister 算法来生成高质量的伪随机数。这个算法相比于传统的 `rand()` 函数,提供了更好的随机性,因此在需要更可靠的随机数时,`mt...
PHP随机函数rand()与mt_rand()的讲解
01-21
PHPrand()与mt_rand()都是用于产生一个指定范围内单独随机数的函数,如果需要产生多个不重复的随机数,请参考:PHP生成指定范围内的N个不重复的随机数。 既然他们都是用于产生一个随机数,那么他们有什么区别呢? ...
PHP函数randmt_rand的区别比较
12-19
`rand()` 和 `mt_rand()` 都是PHP提供的内置函数,用于生成伪随机数,但它们之间存在一些关键区别。 首先,`rand()` 函数PHP早期版本中默认的随机数生成器,它依赖于操作系统的库函数,通常是libc。然而,由于...
phpmt_rand,php mt_rand函数怎么用
weixin_31631571的博客
03-24 761
php mt_rand()函数用于在指定范围内生成随机整数,语法是“mt_rand();”或“mt_rand(min,max);”。如果没有指定参数,则返回0到RAND_MAX之间的伪随机数;如何指定参数,则返回min到max之间(包括边界值)的随机整数。mt_rand()函数怎么用?mt_rand()函数在指定范围内使用 Mersenne Twister 算法生成随机整数。语法:mt_rand(...
php 随机rand,PHP随机函数rand()与mt_rand() - 米扑博客
weixin_29748637的博客
03-18 856
PHPrand()与mt_rand()都是用于产生一个指定范围内单独随机数的函数,如果需要产生多个不重复的随机数,请参考:PHP生成指定范围内的N个不重复的随机数。既然他们都是用于产生一个随机数,那么他们有什么区别呢?rand()函数默认使用 libc 随机数发生器,很多老的 libc 的随机数发生器具有一些不确定和未知的特性而且效率很低;mt_rand() 则是用了 Mersenne T...
用2个随机值破解PHPMT_RAND函数
NOSEC2019的博客
01-10 1251
介绍 在对一个老旧网站进行渗透测试时,我们遇到了一段很久没看过的代码: <?php function resetPassword($email) { [...] $superSecretToken = md5($email . ':' . mt_rand()); [...] $this->sendEmailWithResetToken($email, ...
PHP语言代码漏洞审计技巧笔记分享
关注互联网安全的小虾米一枚
03-05 2767
PHP代码审计,安全漏洞挖掘简要记录
GWCTF 2019]枯燥的抽奖
zxnimud5的专栏
09-12 519
php随机 <?php #这不是抽奖程序的源代码!不许看! header("Content-Type:text/html;charset=utf-8"); session_start(); if(!isset($_SESSION['seed'])){ $_SESSION['seed']=rand(0,999999999); } mt_srand($_SESSION['seed']); $str_long1="abcdefghijklmnopqrstuvwxyz0123456789ABCDEF...
php7生成随机字符和随机
daifeng的博客
11-25 530
php7新增了函数random_int、random_bytes,是具有密码学安全的伪随机数生成器,虽然比起原先的mt_randrand稍慢一些,但是很值得采用。使用方式很简单,直接调用即可: <?php //生成随机字符,由于输出的是二进制数据,我们使用bin2hex来转换成十六进制值 echo bin2hex(random_bytes(16)); echo "<br>"; //生成随机数 echo random_int(10, 20); 如果你想在php5里面使用这两个函.
PHP中生成随机的字母数字字符串
代码教主
06-20 3552
首先,让我说几乎没有事件是真正随机的。 如果我们知道所涉及的每个因素(例如空气摩擦,重力和初始力)的影响,那么即使从理论上讲,经典的抛硬币的结果也可以预测。 同样的情况适用于随机数和字母数字字符串的生成。 我们可以期望的最好的办法是生成似乎不遵循某种模式并且实际上无法被攻击者预测的数字和字符串。 在本教程中,我们将介绍在PHP中生成随机数和字母数字字符串的不同技术。 其中一些将是加密安...
rand()函数mt_rand()函数生成随机字符串及区别
verry_body的博客
03-14 1473
1.首先说明一下两者的区别: mt_rand()函数rand()返回结果的速度快4倍(注:这个四倍结果,php文档中是有进行说明的);所以,在生成随机字符串的过程中,推荐大家使用mt_rand()函数。 2.接下来,介绍一下这两个函数的用法(其实用法基本一致): rand(min,max) mt_rand(min,max) min,可填可不填,默认返回0 max,同样可填可不填,默认...
php mt_randrand 有什么区别
05-24
PHP 中,`mt_rand` 和 `rand` 都是用于生成随机整数的函数。它们的主要区别在于生成随机数的算法不同。 `rand` 函数是使用标准的 C 库的随机数生成器,它的随机数生成过程是通过生成一个伪随机数序列来实现的。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值