Genfy
Seguridad

Generador de Regex SQL Injection

Patrones regex para detectar y bloquear ataques SQL injection antes de que lleguen a tu base de datos. Desde UNION-based hasta blind injection.

Instantáneo🔒En tu navegadorSin registro
En vivo
    Ver como texto

    Estructura de patrones regex efectivos

    Un regex anti-SQLi eficaz equilibra sensibilidad y especificidad. El flag (?i) (case-insensitive) es crítico porque atacantes explotan variaciones como UnIoN o SeLeCt para evadir filtros básicos. El cuantificador .{1,100} captura ofuscación con espacios, tabs y comentarios: UNION/**/SELECT vs UNION SELECT.

    Error común: patrones demasiado específicos tipo union\s+select. Esto falla contra union/**/select o union+select (URL-encoded). Mejor: (union\s+(all\s+)?select) que cubre UNION ALL SELECT también. Para ataques blind, el patrón and\s+1\s*=\s*1 debe considerar espacios opcionales alrededor del operador.

    Los límites de palabra \b previenen falsos positivos: sin ellos, union matchea dentro de 'communion'. Pero cuidado: \b falla con caracteres no-ASCII. En campos de email, el patrón debe ser menos estricto porque direcciones legítimas pueden contener + o . que parecen operadores SQL.

    Implementar validación en múltiples capas

    Regex solo en backend es insuficiente. Los ataques sofisticados usan doble encoding (%2527 = %27 = '), unicode normalization (ᴜɴɪᴏɴ) o HPP (HTTP Parameter Pollution). Tu stack debe incluir: 1) WAF perimetral con reglas OWASP ModSecurity, 2) validación regex en API layer, 3) prepared statements en DAL.

    Para formularios, combiná regex con whitelisting. Si el campo 'username' solo admite [a-zA-Z0-9_-], aplicá eso primero. El regex SQLi actúa como segunda línea contra payloads que pasen la whitelist. En campos de texto libre (bio, comentarios), el regex debe ser más agresivo: bloquear select, union, drop incluso en contexto legítimo, mejor que permitir un 0-day.

    No confíes en client-side JavaScript para seguridad. Regex en frontend mejora UX (feedback inmediato) pero un atacante simplemente lo bypassea con curl. Todo request debe validarse en servidor. Log los matches: si alguien trigea el regex SQLi 10 veces en 1 minuto, es scan automatizado, no typo.

    Detectar técnicas avanzadas de evasión

    Ataques modernos explotan inline comments para fragmentar keywords: SEL/**/ECT, UN/*comment*/ION. Tu regex debe manejar /\*.*?\*/ entre caracteres. En MySQL, /*!50000 SELECT */ ejecuta solo en versiones específicas; el pattern necesita /\*!\d+.*?\*/.

    El encoding alternativo es vector común: CHAR(117,110,105,111,110) construye 'union' dinámicamente. Patrones tipo char\s*\(\d+ detectan esto. En PostgreSQL, CHR() y CONCAT() sirven igual propósito. Hex encoding (0x756e696f6e) requiere 0x[0-9a-f]+.

    El time-based blind injection moderno usa funciones más sutiles que SLEEP(): BENCHMARK(10000000, MD5('a')) en MySQL, WAITFOR DELAY '00:00:05' en MSSQL. Tu regex debe cubrir familias enteras de funciones de demora, no solo las obvias. Y ojo con RLIKE o REGEXP: permiten ReDoS (Regex DoS) que bloquea el servidor con patterns catastróficos.

    Testing y mantenimiento de reglas

    Construí un suite de test con 100+ payloads reales de sqlmap, PayloadsAllTheThings y CVEs recientes. Cada regex debe tener tasa de detección >95% sin falsos positivos en datos legítimos. Usá datasets tipo SecLists para validar.

    Los falsos positivos son críticos: si tu regex bloquea búsquedas de "union membership" o nombres tipo "Shelby Andersen" (and + select), los usuarios reportan bugs en lugar de ataques. Tuneá con negative lookaheads: (?!.*membership)union excluye contextos safe.

    Actualizá patterns trimestralmente. Seguí OWASP SQLi y PortSwigger Research para técnicas nuevas. Cuando SQLite lanza una función como JSONB_EXTRACT(), evaluá si necesita coverage. En producción, loguea todos los blocks: analizá mensualmente si hay patterns que ya no matchean (el ataque evolucionó) o matchean demasiado (falsos positivos). Los regex de seguridad no son set-and-forget.

    Preguntas frecuentes

    ¿Debo usar regex o prepared statements para prevenir SQLi?

    Prepared statements son la defensa primaria; previenen SQLi arquitecturalmente. Regex es defensa en profundidad: detecta ataques antes de que lleguen a la query, útil para logging y blocking temprano.

    ¿Cómo evito que regex cause ReDoS (catastrophic backtracking)?

    Evitá cuantificadores anidados tipo (a+)+. Testeá con herramientas como regex101.com que alertan sobre complejidad. Limitá input length antes de aplicar regex (ej. max 1000 chars).

    ¿Los regex anti-SQLi funcionan para NoSQL injection?

    No. NoSQL usa JSON/BSON, no SQL. Necesitás patterns diferentes para detectar payloads como {"$gt": ""} en MongoDB o SSJI (Server-Side JavaScript Injection) en CouchDB.

    ¿Debería bloquear requests que matchean o solo loguear?

    Depende del riesgo. En inputs de alta criticidad (auth, payment), bloquear. En búsquedas generales, loguear y analizar por 2 semanas antes de bloquear (para afinar y reducir falsos positivos).

    ¿Te sirvió este generador?

    Otros generadores que te van a gustar

    ✍️ Generador HMAC Firma HMAC con SHA-256, SHA-512 y más. Seguridad 🌐 Generador de Políticas CORS Generá configuraciones CORS seguras para APIs: origins permitidos, métodos, headers, credentials. Evitá errores comunes de seguridad en cross-origin. Seguridad 🔒 Generador de Headers HTTP de Seguridad Genera headers HTTP de seguridad: CSP, HSTS, X-Frame-Options y más. Protege tu sitio contra XSS, clickjacking e inyección. Configuración lista para copiar. Seguridad 🎫 Generador de JWT de Prueba Crea tokens JWT válidos con claims personalizados para testing local. Headers, payloads y escenarios edge-case sin tocar producción ni exponer secrets. Seguridad