随机数真的随机吗?
PHP中的随机函数
在PHP中,常用的随机数生成算法有rand(),mt_rand().
这两个函数各有最大范围不超过2147483647,rand()的范围是很小的,非常不安全的,所以一般用mt_rand().
<?php
//on windows
print getrandmax();//2147483647
print mt_getrandmax();//2147483647
?>
然鹅mt_rand()在实现上也有缺陷.
伪随机数是由数学算法来实现的,真正随机的地方在于种子.种子一旦确定,再通过同一随机数算法计算出来的随机数,值是固定的.多次计算所得值得顺序也是固定的
在PHP4.2.0之前的版本,必须要通过srand()或mt_srand()给rand()或mt_rand()播种,
在PHP4.2.0之后的版本,事先可以不再通过srand()或mt_srand()播种. 如直接调用mt_rand(),系统会自动播种.
但是,可能为了和之前版本兼容,PHP代码里面还会这样写:
mt_srand(time());
mt_srand((double) microtime() * 100000);
mt_srand((double) microtime() * 1000000);
mt_srand((double) microtime() * 10000000);
但是,时间也不是随机的 . 攻击者通过某种方式获取系统时间,就可以短时间内枚举出种子
上面提到的如果不播种,系统会自动播种,系统播种种子范围为0-2^32(32位系统),这样似乎也能枚举emm
固定的种子
下面谈谈种子固定会发生什么?
**在同一进程中,同一个seed,每次通过mt_rand()生成的值都是固定的: **
rand.php:
<?php
mt_srand