那些遇到过的问题

PHP的mt_rand如何播种?

Jan*_*nis 13 php security random mersenne-twister

我知道PHP mt_rand()不应该用于安全目的,因为它的结果不是加密强.然而,许多PHP代码就是这样做的,或者如果没有更好的随机源,则将其用作后备.

那有多糟糕呢?哪些随机源mt_rand用于播种?mt_rand加密应用程序是否存在其他安全问题?

Jon*_*Jon 17

在PHP 5.4中,if mt_rand在第一次使用时自动播种(PHP源代码).的种子值是当前时间戳,PHP进程PID和由PHP的内部产生的值的函数的LCG.我没有检查以前版本的PHP的源代码,但是文档暗示这个种子算法已经从PHP 5.2.1开始使用了.

背后的RNG算法mt_randMersenne Twister.谈论它有多"糟糕"并没有多大意义,因为它清楚地记录了(不幸的是在PHP文档页面上),它完全不适合加密应用程序.如果您想要加密随机性,请使用文档化的加密强度生成器.

更新:您可能还想从crypto.SE 查看此问题.

归档时间:

查看次数:

5040 次

最近记录:

13 年,8 月 前
相关归档
DirectoryIterator和FileSystemIterator之间的区别 51
Eloquent\Model :: get()和all()之间的区别 37
在jQuery ajax请求中保护和/或加密(隐藏)POST变量 13
"过滤器输入,转义输出"对PDO仍然有效 10
为 api 访问生成安全令牌 6
如何使用net.tcp绑定保护WCF通信 5
是否可以在 PHP 中使用 file_get_contents 破坏 CSRF 令牌验证 4
json_decode安全性 3
所有md5哈希都是一样的吗? 2
保护Kubernetes秘密文件以进行源代码管理? 1
难疑归档
如何在shell脚本中打印JSON? 2905
HTML 5:是,<br>还是<br />? 1952
如何删除已合并的所有Git分支? 1782
按值对地图<键,值>进行排序 1569
在上传图像之前预览图像 1476
如何从我的应用程序中在Android的Web浏览器中打开URL? 1282
jQuery document.createElement等价? 1226
如何在同一元素上组合背景图像和CSS3渐变? 1203
如何从Git的暂存区域中删除单个文件,但不将其从索引中删除或撤消对文件本身的更改? 1177
PHP和枚举 1114