PHPで暗号で安全な乱数を生成するにはどうすればよいですか？

Question

可能性の重複：
Secure random number generation in PHP

私たちは、データベースにセッションデータに関連付けされる認証トークンとして使用するために、暗号のランダムな文字列を生成する必要があります。 PHPを使用していますが、適切な乱数ジェネレータが組み込まれていないようです。私はどのように私はphpを使用してNの長さの暗号安全にランダムな文字列を生成できますか？

また、アプリケーションの性質上、shell_execはテーブルから外れています。

Answer 1

約uniqid？ docsには、Cookie /セッションにどのように使用できるかの例があります。

Answer 2

私の頭の上から外れています：微小時間をかけ、微小時間％100でそれを掛け、受け取った結果のsha1にはいくつかの無作為をします。

Answer 3

プラットフォームによっては、/ dev/urandomまたはCAPICOMを使用することができます。これがうまくthis comment from Mark Seecofに要約される。

「あなたは、セキュリティや暗号化の目的のためにいくつかの擬似ランダムビット（卵、ブロック暗号のためのランダムIV、パスワードハッシュのためのランダムな塩）を必要とするmt_rand（）が悪い源である場合、最も上。 UNIX/Linuxと/またはMS-Windowsのプラットフォームでは、あなたは、このように、OSまたはシステムライブラリからの疑似ランダムビットのより良い成績を得ることができます。

<?php 
// get 128 pseudorandom bits in a string of 16 bytes 

$pr_bits = ''; 

// Unix/Linux platform? 
$fp = @fopen('/dev/urandom','rb'); 
if ($fp !== FALSE) { 
    $pr_bits .= @fread($fp,16); 
    @fclose($fp); 
} 

// MS-Windows platform? 
if (@class_exists('COM')) { 
    // http://msdn.microsoft.com/en-us/library/aa388176(VS.85).aspx 
    try { 
     $CAPI_Util = new COM('CAPICOM.Utilities.1'); 
     $pr_bits .= $CAPI_Util->GetRandom(16,0); 

     // if we ask for binary data PHP munges it, so we 
     // request base64 return value. We squeeze out the 
     // redundancy and useless ==CRLF by hashing... 
     if ($pr_bits) { $pr_bits = md5($pr_bits,TRUE); } 
    } catch (Exception $ex) { 
     // echo 'Exception: ' . $ex->getMessage(); 
    } 
} 

if (strlen($pr_bits) < 16) { 
    // do something to warn system owner that 
    // pseudorandom generator is missing 
} 
?> 

NB：読んしようとする試みの両方を残すことが一般的に安全です/ dev/urandomとあなたのコードでCAPICOMにアクセスしようとすると、それぞれがもう一方のプラットフォームで静かに失敗するでしょう。