Какое количество пользовательских лимитов SQL я должен разрешить?

Question

У меня есть программное обеспечение, которое ОГРАНИЧИВАЕТ запросы на основе пользовательского ввода.Я знаю о SQL-инъекциях и возможностях DOS, поэтому мне не интересно слышать о них.Что мне интересно, так это то, какой лимит я должен устанавливать для общих запросов, таких как получение последних элементов X?В настоящее время я разрешаю клиенту указывать значение и проверяю, чтобы LIMIT всегда был в диапазоне от 1 до 100. Это хорошо?

Answer 1

Это прекрасно.

Позволить клиенту оставаться в границах - это великое мышление вперед .

Answer 2

Да, вы можете ввести sql в limit, убедитесь, что значение является целым числом intval($_GET[size]);.

По размеру ограничения.Это сводится к использованию ресурсов.Если у вас нет проблем с потреблением ресурсов и / или данные, которые вы выбираете, очень малы.Тогда следует, что крышка должна быть большой.100, даже 1000?Если это полезно для пользователя, и вы можете предоставить его, то вам следует.

Answer 3

Вы должны разрешить все, что имеет смысл в пользовательском интерфейсе.Обычно конечным пользователям предлагается несколько предопределенных вариантов (10, 25, 50, 100 и т. Д.)

Имеет ли смысл разрешать им создавать одну строку для используемого ими пользовательского интерфейса?100?57