大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog
すごい労作レポートですね。ありがたいことです。
数値リテラル狙いのSQLインジェクション攻撃ですか。確かにその筋と考えると納得しやすいですね。

SQLインジェクションであれば既知の攻撃手法でありWAFで防ぐことは出来るのではという考え方もありますが、例えばブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。HTTPリクエストとして受けた文字列だけで、最終的にデータベースに対して発行されるSQLでその文字列がどのような扱いになるか(数値リテラルになるのかどうか)判断することが出来ないためです。

そのため、予めWAF側にどのValue値が数字のみの許容とするのかを定義する必要があり、ホワイトリスト型の機能を持つWAF製品で、かつもれなく設定されている必要があり、完全に防御されているのかどうか確認するだけでもかなり時間を要するのではないかと思います。

現状は確かにそういうところでしょうね。ホワイトリスト型ってのは性質上どうしても運用の手間と立ち上げる期間というのがネックになりますねえ。しかもサイトリニューアルとかけっこう頻繁に出てきた日にゃあｗ。
先日関西大学で行われた研究会で発表したネタとかを早々に実装、実証実験しちゃいたいところだなあ。数値リテラル狙いへの適性があると思うんだけど。
関連：変数に型のない言語におけるSQLインジェクション対策に対する考察(5): 数値項目に対するSQLインジェクション対策のまとめ - 徳丸浩の日記(2007-09-24)