php语言

PHP中的随机性

时间:2024-10-08 00:50:28 php语言 我要投稿
  • 相关推荐

PHP中的随机性

  PHP可以执行编译后代码,编译可以达到加密和优化代码运行,使代码运行更快。下面是小编分享的PHP中的随机性,欢迎大家参考!

  什么是CSPRNG

  引用维基百科,一个密码学上安全的伪随机数发生器(Cryptographically Secure Pseudorandom Number Generator 缩写CSPRNG)是一个伪随机数生成器(PRNG),其生成的伪随机数适用于密码学算法。

  CSPRNG可能主要用于:

  密钥生成(例如,生成复杂的密钥)

  为新用户产生随机的密码

  加密系统

  获得高级别安全性的一个关键方面就是高品质的随机性

  PHP7 中的CSPRNG

  PHP 7引入了两个新函数可以用来实现CSPRNG: random_bytes 和 random_int。

  random_bytes 函数返回一个字符串,接受一个int型入参代表返回结果的字节数。

  例子:

  $bytes = random_bytes('10'); var_dump(bin2hex($bytes)); //possible ouput: string(20) "7dfab0af960d359388e6"

  random_int 函数返回一个指定范围内的int型数字。

  例子:

  var_dump(random_int(1, 100)); //possible output: 27

  后台运行环境

  以上函数的随机性不同的取决于环境:

  在window上,CryptGenRandom()总是被使用。

  在其他平台,arc4random_buf()如果可用会被使用(在BSD系列或者具有libbsd的系统上成立)

  以上都不成立的话,一个linux系统调用getrandom(2)会被使用。

  如果还不行,/dev/urandom 会被作为最后一个可使用的工具

  如果以上都不行,系统会抛出错误

  一个简单的测试

  一个好的随机数生成系统保证合适的产生“质量”。为了检查这个质量, 通常要执行一连串的统计测试。不需要深入研究复杂的统计主题,比较一个已知的行为和数字生成器的结果可以帮助质量评价。

  一个简单的测试是骰子游戏。假设掷1个骰子1次得到结果为6的概率是1/6,那么如果我同时掷3个骰子100次,得到的结果粗略如下:

  0 个6 = 57.9 次

  1 个6 = 34.7次

  2 个6 = 6.9次

  3 个6 = 0.5次

  以下是是实现实现掷骰子1,000,000次的代码:

  $times = 1000000; $result = []; for ($i=0; $i<$times; dieroll="array(6"> 0); //initializes just the six counting to zero $dieRoll[roll()] += 1; //first die $dieRoll[roll()] += 1; //second die $dieRoll[roll()] += 1; //third die $result[$dieRoll[6]] += 1; //counts the sixes } function roll(){ return random_int(1,6); } var_dump($result);

  用PHP7 的 random_int 和简单的 rand 函数可能得到如下结果

Sixes


       

expected


       

random_int


       

0


       

579000


       

579430


       

1


       

347000


       

346927


       

2


       

69000


       

68985


       

3


       

5000


       

4658


       

  如果先看到rand 和 random_int 更好的比较我们可以应用一个公式把结果画在图上。公式是:(php结果-期待的结果)/期待结果的0.5次方。

  结果图如下:

  (接近0的值更好)

  尽管3个6的结果表现不好,并且这个测试对实际应用来说太过简单我们仍可以看出 random_int 表现优于 rand.

  进一步,我们的应用的安全级别由于不可预测性和随机数发生器的可重复行为而得到提升。

  PHP5 呢

  缺省情况下,PHP5 不提供强壮的随机数发生器。实际上,还是有选择的比如 openssl_random_pseudo_bytes(), mcrypt_create_iv() 或者直接使用fread()函数来使用 /dev/random 或 /dev/urandom 设备。也有一些包比如 RandomLib 或 libsodium.

  如果你想要开始使用一个更好的随机数发生器并且同时准备好使用PHP7,你可以使用Paragon Initiative Enterprises random_compat 库。 random_compat 库允许你在 PHP 5.x project.使用 random_bytes() and random_int()

  这个库可以通过Composer安装:

  composer require paragonie/random_compat require 'vendor/autoload.php'; $string = random_bytes(32); var_dump(bin2hex($string)); // string(64) "8757a27ce421b3b9363b7825104f8bc8cf27c4c3036573e5f0d4a91ad2aaec6f" $int = random_int(0,255); var_dump($int); // int(81)

  random_compat 库和PHP7使用不同的顺序:

  fread() /dev/urandom if available mcrypt_create_iv($bytes, MCRYPT_CREATE_IV) COM('CAPICOM.Utilities.1')->GetRandom() openssl_random_pseudo_bytes()

  想知道为什么是这个顺序建议阅读 documentation.

  这个库的一个简单应用用来产生密码:

  $passwordChar = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'; $passwordLength = 8; $max = strlen($passwordChar) - 1; $password = ''; for ($i = 0; $i < $passwordLength; ++$i) { $password .= $passwordChar[random_int(0, $max)]; } echo $password; //possible output: 7rgG8GHu

  总结

  你总是应该使用一个密码学上安全的伪随机数生成器,random_compat 库提供了一种好的实现。

  如果你想要使用可靠的随机数据源,如你在本文所见,建议尽快使用 random_int 和 random_bytes.

【PHP中的随机性】相关文章:

PHP中php://input和$-POST的区别08-26

PHP中的魔术方法10-20

PHP中list的方法07-05

PHP前端开发中的性能05-25

PHP中的trait是什么08-13

php中死锁问题剖析10-14

PHP中多态如何实现09-04

php中fsockopen用法实例06-20

PHP中实现页面跳转07-06

php中引用的用法分析06-22