stai facendo un casino cogli header HTTP !!!

header() e session_start() mandano header HTTP.. quindi non puoi invocarle a caasaccio nello script, specie dopo che hai già stampato roba (iniziato a produrre il content HTTP)

btw: non invocare 2 volte la get_rand() !!! avresti 2 num diversi!