SQLインジェクションはLIMITで可能ですか？

制約はほとんどなく、通常の方法で実行できます（UNIONまたは '; XXX ---'）

場合によっては不可能であり、ブール式をLIMITに置く必要があります。これはブラインドSQLインジェクションであり、データベース全体を一度に1ビットずつダンプできます。

MySQLは複数のステートメントをサポートします で、少なくとも4.1年から10年前に使用しています。たとえば、 Perl mysqlモジュールでmysql_multi_statementsを使用してこれをオンにする ができます。

クライアントライブラリは現在複数のステートメントをサポートしていない可能性がありますが、セキュリティホールから離れたアップグレードまたは構成の変更にすぎません。

これは、PDOの準備済みステートメントとその変数を整数のみの入力としてbindParamを使用するのに良いタイミングです。これにより、SQLを挿入して実行しようとしていることをすべて無効にすることができます。

また、ユーザーがドロップダウンの数値の事前設定リストから選択できるようにすることも検討します。結果ページがページ分割に設定されていない限り、ページに100,000件のレコードを読み込もうとすると、手ごわいことが起こります。

友人のクエリは今日はあまり役に立ちませんが、後であるかもしれませんが、テクノロジーが進化し、MySQL DBMSは他の多くのテクノロジーと同様に常に改善されているため、LIMITステートメントは、その直後にUNIONを使用できるように変更されます。あなたの友人は、MySQL DBMSのアーキテクチャが、現在とは異なり複数のSQLステートメントを実行できるように変更される場合についても検討します。

私が言いたいのは、あなたの友人が入力をサニタイズしなければならないということです。それはベストプラクティスです。今日はあまり重要ではないかもしれませんが、将来、あなたは決して知らないでしょう。あなたの友達。

1 UNION SELECT ...の制限を設定すると、列が最初のCASTの列と同じ数と型を持っている（またはSELECTにできる）限り、攻撃者は他のテーブルから情報を引き出すことができます。制限をsub_SELECTから生成された値として設定すると、攻撃者は返された行の数からデータベース内の他の情報を読み取ることができます。たとえば、別のユーザーのパスワードハッシュは、異なるサブストリングオフセットで0〜15の数値を返すサブクエリを繰り返し実行し、各結果の行をカウントすることで、一度に4ビット抽出できます。

しかし、これらの攻撃はどちらも阻止できます。多くのデータベースドライバは パラメータ化されたLIMIT を許可します。特定のドライバーがパラメーター化されたLIMITに干渉する場合は、入力を整数に変換してからクエリに文字列置換することで、入力を無害化できます。これは、アプリケーションが1つのクエリ（LIMIT 12345678など）から処理できる以上のレコードを返さないようにするのにも役立ちます。 PHPでは、次のようになります。

<?php
//...
$limit = intval($_REQUEST['numresults']);
$limit = min(max($limit, 10), 100);
$stmt = $dbh->prepare("SELECT ... FROM ... WHERE ... LIMIT $limit");