LEOnidUKG

В чём сложность её генерировать потом?

Вместо этого мы ещё будем делать доп запрос на проверку существующего ключа... Больше запросов богу запросов.

А не сдохнет ли БД, если я начну бесконечно тыкать восстановление пароля?

Генерация такого пароля нужно делать только после того как клиент перешёл по специальной ссылке.

Или у сайта накрылась отправка почты или письма не доходят и режутся спам фильтром

Потому, что нельзя передавать в запрос ничего кроме переменных. Чтобы передавать лимиты и т.д. тебе надо выключить этот режим:

$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);

Иначе у тебя все цифры загоняются в одинарные кавычки  ' 10'

Остальное гугли по запросу:

mysql PDO LIMIT ATTR_EMULATE_PREPARES

Глюк в том, что у вас на сайте прописана переадресация на https и вот с этого и начинайте.

Так же нет информации, что за CMS... на какой протоколе сайт...

Есть ощущение, что в документации путаница или недосказанность.

Я бы тогда остановился просто на каноникалах и всё. Это как минимум будет безопаснее и не будет трактоваться двояко. 

Да вот документация говорит о том, что noindex в тэги это не запрет на индексацию как таковую: 

https://developers.google.com/search/docs/advanced/robots/robots_meta_tag

А запрет на отображение данной страницы в поиске. Т.е. гугл считает страницу и данные с неё. 

Тут вопрос в том, зачем follow т.к. он по умолчанию и так всегда всё разрешено.

Что-то вы плохо проверяете:

https://www.ozon.ru/category/bad-zheludochno-kishechnye-35176/?page=2&tf_state=wapFi01tzC8QUtk2aH9KHiTKKj4OYOZwVkuTbjgSWB7HcEQ%3D

2. Hoff вообще странный, на в robots.txt запрещено, но при этом на самой странице:

Да, только первая участвует в поиске как основная страница каталога. Дальше страницы просто для индексации товаров и не более.