yo opino que no es necesario usar regex para filtrar consultas de SQL, la verdad es que siempre debería almacenarse la información tal cual la introduce el usuario...

imagina un sitio para snippets de código, y que alguien postee alguna porción de código SQL... ¿si usamos regex para evitar ciertas cosas, como distinguir lo bueno de lo malo?

la información en su defecto debería almacenarse escapada claramente, y eso asegura que aunque se intente atacar mediante una inyección es en vano, pues la información ya no contiene vulnerabilidades...

así que una inyección de SQL siempre será efectiva, si no almacenamos con seguridad nuestra información, independientemente de lo que ésta contenga!!