应优先使用 mt_rand();它基于梅森旋转算法,速度快、随机性好、是 php 7.1+ 默认推荐,而 rand() 周期短、分布不均、不适用于密码学场景。
rand() 和 mt_rand() 到底该用哪个
PHP 里生成随机整数,rand() 看起来最顺手,但它的底层用的是 libc 的 rand(),周期短、分布不均、不适用于密码学场景;mt_rand() 基于 Mersenne Twister 算法,速度快、随机性好、是 PHP 7.1+ 的默认推荐。除非你维护老项目(PHP rand() 的行为,否则一律用 mt_rand()。
注意:PHP 8.2 起 rand() 已被标记为废弃,调用时会触发 E_DEPRECATED 警告。
-
mt_rand(1, 100)生成 1 到 100(含)之间的整数,和rand()参数顺序一致 - 如果只传一个参数(如
mt_rand(100)),它等价于mt_rand(0, 100),容易误读,建议始终写全两个参数 - 在循环中频繁调用
mt_rand()不需要手动 seed,PHP 已自动初始化;手动调用mt_srand()反而可能破坏随机性,除非你真要复现某次结果
生成指定范围随机数的边界陷阱
很多人以为 mt_rand($min, $max) 是“从 $min 到 $max 之间任取一个”,但关键在于:它是闭区间 —— $min 和 $max 都能取到。这在生成 ID、偏移量、数组下标时特别容易出错。
比如你想从数组 $arr = ['a', 'b', 'c'] 随机取一个元素,写成 $arr[mt_rand(0, count($arr))] 就越界了,因为 count($arr) 返回 3,而合法下标只有 0、1、2。
立即学习“PHP免费学习笔记(深入)”;
- 正确写法是
$arr[mt_rand(0, count($arr) - 1)] - 生成 1~n 的随机数,别写
mt_rand(1, n+1)试图“避开 0”,直接写mt_rand(1, n) - 如果范围是负数(如
mt_rand(-5, 5)),同样包含两端,-5 和 5 都可能出现
PHP 7.0+ 推荐用 random_int() 替代所有整数随机需求
如果你需要密码学安全的随机数(比如生成 token、salt、验证码种子),mt_rand() 不够用 —— 它可预测,不能用于安全敏感场景。random_int() 是 PHP 7.0 引入的 CSPRNG(密码学安全伪随机数生成器),直接调系统熵源(/dev/urandom 或 CryptGenRandom),失败时抛出 Exception 而不是返回错误值。
-
random_int(1, 100)用法和mt_rand()完全一致,但更安全 - 它不接受浮点数,也不支持单参数形式,必须写两个整数参数
- 在容器或无权限读取系统熵源的环境中(如某些 chroot 或精简 Docker 镜像),
random_int()可能抛出Exception,需用 try/catch 包裹 - 性能比
mt_rand()略低,但对绝大多数业务请求(非高频循环)影响可忽略
用 array_rand() 取随机键时别混淆返回值类型
当你要从关联数组中随机挑一个 key(比如随机选个配置项),array_rand($arr) 看似方便,但它返回的是 key 本身 —— 类型可能是 string 或 int,取决于原数组。很多人直接拿去当索引用,结果在数字索引数组里得到字符串 "0",再做数学运算就出问题。
-
$key = array_rand($arr)返回单个 key(string/int);array_rand($arr, 2)返回包含 key 的数组 - 不要写
$arr[array_rand($arr) + 1]这类表达式,加法会强制类型转换,极难调试 - 如果只要随机值,直接用
$val = $arr[array_rand($arr)];如果确定要整数索引,先用array_values($arr)重排,再用mt_rand()
实际用的时候,多数情况就三句话:安全要求高就用 random_int(),普通业务用 mt_rand(),别碰 rand();所有范围都检查闭区间是否越界;array_rand() 只取 key,别把它当数值使。
