PHP中的随机性 你觉得自己幸运吗？

本文分析了生成用于加密的随机数的相关问题。 PHP 5没有提供一种简单的机制来生成密码学上强壮的随机数，但是PHP 7通过引入几个CSPRNG函数来解决了这个问题。

一、什么是CSPRNG

引用维基百科,一个密码学上安全的伪随机数发生器（Cryptographically Secure Pseudorandom Number Generator 缩写CSPRNG）是一个伪随机数生成器（PRNG）,其生成的伪随机数适用于密码学算法。

CSPRNG可能主要用于:

获得高级别安全性的一个关键方面就是高品质的随机性

二、PHP7 中的CSPRNG

PHP 7引入了两个新函数可以用来实现CSPRNG： random_bytes 和 random_int。

random_bytes 函数返回一个字符串，接受一个int型入参代表返回结果的字节数。

例子：

$bytes = random_bytes('10');var_dump(bin2hex($bytes));//possible ouput: string(20) "7dfab0af960d359388e6"

random_int 函数返回一个指定范围内的int型数字。

例子：

var_dump(random_int(1, 100));//possible output: 27

三、后台运行环境

以上函数的随机性不同的取决于环境：

四、一个简单的测试

一个好的随机数生成系统保证合适的产生“质量”。为了检查这个质量, 通常要执行一连串的统计测试。不需要深入研究复杂的统计主题，比较一个已知的行为和数字生成器的结果可以帮助质量评价。

一个简单的测试是骰子游戏。假设掷1个骰子1次得到结果为6的概率是1/6，那么如果我同时掷3个骰子100次,得到的结果粗略如下：

0 个6 = 57.9 次
1 个6 = 34.7次
2 个6 = 6.9次
3 个6 = 0.5次
以下是是实现实现掷骰子1,000,000次的代码：

$times = 1000000;$result = [];for ($i=0; $i<$times; $i++){  $dieRoll = array(6 => 0); //initializes just the six counting to zero  $dieRoll[roll()] += 1; //first die  $dieRoll[roll()] += 1; //second die  $dieRoll[roll()] += 1; //third die  $result[$dieRoll[6]] += 1; //counts the sixes}function roll(){  return random_int(1,6);}var_dump($result);

用PHP7 的 random_int 和简单的 rand 函数可能得到如下结果