Использование openssl_random_pseudo_bytes () для заполнения mt_rand ()

Согласно документация
openssl_random_pseudo_bytes не гарантируется получение криптографически стойких случайных данных. Однако в том невероятном случае, когда он не смог использовать криптографически стойкий ГСЧ, он по крайней мере скажет вам. Это то что openssl_random_pseudo_bytesВторой параметр предназначен для:

Он также указывает, использовался ли криптографически стойкий алгоритм для создания псевдослучайных байтов, и делает это с помощью необязательного crypto_strong параметр. Это редко FALSE, но некоторые системы могут быть сломаны или старые.

Вы можете передать этот параметр, а затем проверить его значение:

$bytes = openssl_random_pseudo_bytes(256, $strong);
if (!$strong) {
// handle error as necessary.
}

Однако в отличие от openssl_random_pseudo_bytes, mt_rand является прямо указано не производить криптографически безопасные значения.

Эта функция не генерирует криптографически безопасные значения и не должна использоваться в криптографических целях.

Я не эксперт, но я сомневаюсь, что заполнение Mersenne Twister безопасными случайными данными сделает сгенерированные данные более безопасными (если вообще, возможно, только первый байт):

Встречное предложение

Вы не указали, какую версию PHP вы используете. Если вы используете PHP 7, random_int может быть хорошей альтернативой для вас (также явно указано, что она криптографически безопасна):

for ($i = 0; $i < $length; $i++) {
$n = random_int(0, $alphaLength);
$pass .= $alphabet[$n];
}

С другой стороны, этот ответ обеспечивает безопасную реализацию на основе PHP для rand функция, которая использует OpenSSL в качестве CSPRNG, который вы могли бы использовать вместо random_int,