Molto meglio usare $random = sha1(uniqid(rand(), true)); comunque non avendo davanti tutta l'applicazione non so se è più sicura di prima.