Regex in der Praxis: Anker, Quantifizierer und Capture-Gruppen
Zusammenfassung (TL;DR)
Am 2. Juli 2019 hat eine einzige Regex innerhalb von Cloudflares WAF – ein Muster der Gestalt .*(?:.*=.*), das an Fast-Treffer geriet – den globalen Traffic 27 Minuten lang um knapp 50 % einbrechen lassen. Das Backtracking in PCRE nagelte einen CPU-Kern bei 100 % fest, und jede Anfrage blieb dahinter hängen. Die ehrlichste Lektion, die Regex lehrt, ist: sie versteckt ihre eigenen Kosten. An den meisten Tagen ist sie klein, schnell und verführerisch; eine falsche Eingabe kann ein System anhalten. Darum ist der Ton dieses Textes leicht skeptisch. Die meiste Alltagsregex-Arbeit ruht auf einer Handvoll Bausteine: Anker, die ein Muster an Anfang, Ende oder Wortgrenze binden; Zeichenklassen, die „eines dieser Zeichen” beschreiben; Quantifizierer, die „wie oft” festlegen; und Gruppen, mit denen du einfangen, referenzieren oder alternieren kannst. Richtig gesetzt, werden die typischen Probleme – eine grobe E-Mail-Prüfung, Felder aus einer Logzeile ziehen, eine Telefonnummer normalisieren – kurz und lesbar. Falsch gesetzt, landest du bei Mustern, die zu viel, zu wenig matchen oder die Engine wie im Cloudflare-Fall zum Stillstand bringen. Parse HTML, JSON oder XML nicht mit Regex – reguläre Sprachen können keine ausgewogene Verschachtelung beschreiben. Engines unterscheiden sich zudem: ECMAScript-Regex, PCRE (Perl/PHP), Pythons re, Oniguruma (Ruby und Rusts onig-Crate) sowie Gos RE2 haben alle subtile Unterschiede. Cloudflares Vorfall geschah nur, weil die Engine PCRE war; unter RE2 wäre er in linearer Zeit durchgelaufen.
Hintergrund und Konzepte
Eine reguläre Ausdrucksform ist eine kompakte Grammatik, um Strings zu matchen. Die Bausteine, zu denen man am häufigsten greift, verdienen eine ausdrückliche Benennung.
Anker konsumieren keine Zeichen – sie stellen eine Position fest. ^ ist der Eingabeanfang (oder Zeilenanfang im Multiline-Modus), $ das Ende, und \b eine Wortgrenze (der Übergang zwischen \w und Nicht-\w). Ohne Anker matcht abc irgendwo innerhalb eines längeren Strings. Mit ihnen matcht ^abc$ nur den wörtlichen Gesamtstring abc, und \babc\b matcht abc als eigenständiges Wort.
Zeichenklassen beschreiben ein einzelnes Zeichen aus einer Menge. [abc] ist a, b oder c; [a-z] ist ein beliebiger Kleinbuchstabe; [^0-9] ist „alles außer einer Ziffer”. Kurzformen decken die häufigen Fälle ab: \d (Ziffern), \w (Wortzeichen – Buchstaben, Ziffern, Unterstrich), \s (Whitespace). Die Negationen \D, \W, \S sind die Gegenstücke. . matcht standardmäßig jedes Zeichen außer einem Zeilenumbruch; das s-Flag (dotall) ändert das.
Quantifizierer hängen am vorangehenden Token und sagen, wie oft es sich wiederholen darf. * ist null oder mehr, + ist eins oder mehr, ? ist null oder eins, und {n,m} ist „zwischen n und m” (jede Grenze kann entfallen). Standardmäßig sind Quantifizierer greedy: sie matchen so viel wie möglich und geben nur zurück, wenn der Rest des Musters scheitert. Hänge ? an, um die lazy-Form – *?, +?, ?? – zu erhalten, die so wenig wie möglich matcht und nur erweitert, wenn sie muss. Manche Engines ergänzen possessive Quantifizierer (*+, ++), die greedy matchen, aber im Scheitern nicht zurückgeben, was katastrophales Backtracking auf pathologischer Eingabe verhindert – genau das Werkzeug, das im Cloudflare-Vorfall fehlte.
Gruppen umschließen Teilmuster. (pattern) ist eine Capture-Gruppe – nummeriert ab 1 in der Reihenfolge der öffnenden Klammer – deren Treffer innerhalb des Musters mit \1 oder in der Host-Sprache über indizierte Accessoren referenziert werden kann. (?<name>pattern) fügt ein benanntes Capture hinzu. (?:pattern) ist eine nicht-capturende Gruppe, die rein für Alternation ((?:cat|dog)) oder Quantifizierer-Bündelung dient, ohne den Treffer zu speichern. | innerhalb einer Gruppe ist Alternation: matche eine der Alternativen.
Zuletzt ändern Flags das Engine-Verhalten: i für case-insensitive, m für Multiline (^ und $ matchen an Zeilenrändern), s für dotall, u für Unicode. In JavaScript aktiviert das u-Flag zusätzlich Unicode-Property-Escapes wie \p{L} für „jeder Buchstabe”.
Vergleich und Daten
| Quantifizierer | Greedy (Standard) | Lazy (?-Suffix) | Possessive (wo unterstützt) |
|---|---|---|---|
* / *? / *+ | So viele wie möglich, bei Fehlschlag zurückgeben | So wenige wie möglich, bei Fehlschlag erweitern | So viele wie möglich, kein Rückgeben |
+ / +? / ++ | Eins oder mehr, greedy | Eins oder mehr, lazy | Eins oder mehr, kein Rückgeben |
? / ?? / ?+ | Null oder eins, ein bevorzugt | Null oder eins, null bevorzugt | Null oder eins, kein Rückgeben |
{n,m} / {n,m}? / {n,m}+ | Bereich, greedy | Bereich, lazy | Bereich, kein Rückgeben |
Greedy ist oft genug das Richtige, weshalb es der Default ist. Lazy zählt, wenn „der Rest des Musters” selbst zu großzügig ist – zum Beispiel <b>...</b> aus einem HTML-Ausschnitt mit <b>(.*?)</b> zu ziehen, statt mit einem greedy .*, das mehrere Tags verschlingen könnte (und selbst dann – parse echtes HTML nicht mit Regex). Possessive Quantifizierer und atomare Gruppen (?>...) helfen, wenn ein Muster sonst exponentiell viele Backtrack-Pfade bei Fast-Treffern neu ausprobieren würde. PCRE, Java und Oniguruma unterstützen sie; ECMAScript und Pythons re taten es historisch nicht, doch Python 3.11 ergänzte atomare Gruppen im re-Modul.
Praxisszenarien
Szenario 1 – Ein pragmatischer E-Mail-Match. Die vollständige E-Mail-Grammatik aus RFC 5322 erlaubt Kommentare, quotierte lokale Teile und verschachtelte IP-Literale; eine Regex, die all das abdeckt, ist notorisch monströs (der bekannteste Versuch ist 6.425 Zeichen lang) und immer noch kein echter Parser. Das Muster, das ich in Produktion tatsächlich ausgeliefert habe, ist fast immer ^[^\s@]+@[^\s@]+\.[^\s@]+$ – „nicht leer, kein Whitespace, kein verirrtes @, mit mindestens einem Punkt in der Domain” – das lehnt offensichtliche Tippfehler ab, ohne vollständige Validierung vorzugaukeln. Der einzige Weg, eine Adresse wirklich zu verifizieren, ist, ihr eine Nachricht zu senden. Nutze Regex für die Form, E-Mail für die Existenz.
Szenario 2 – Telefonnummern mit internationalen Formaten. +82 2-1234-5678, (02) 1234-5678 und 82-2-1234-5678 beschreiben alle dieselbe koreanische Seoul-Nummer. Eine Regex wie ^\+?\d{1,3}[-\s().]*\d{1,4}[-\s().]*\d{3,4}[-\s().]*\d{3,4}$ akzeptiert die übliche Interpunktion, danach strippt ein Normalisierungsschritt die Interpunktion auf eine kanonische rein-numerische Form. Für alles Ernsthafte – Routing, Speicherung, Wählen – nutze Googles libphonenumber statt selbst zu stricken. Das schnellste Meeting-Ergebnis, das ich zu diesem Thema gesehen habe, war „wir machen das nicht mit Regex”, was dem Team eine Woche an Edge-Case-Bugs ersparte. Regex ist für die „sieht das vage nach Telefonnummer aus”-Oberfläche.
Szenario 3 – Felder aus einer Logzeile extrahieren. Eine Zeile wie 2026-04-13T02:11:05Z 192.0.2.42 "GET /search?q=foo HTTP/1.1" 200 1534 lässt sich mit einem einzigen Muster zerlegen: ^(?<ts>\S+)\s+(?<ip>\S+)\s+"(?<method>\w+)\s+(?<path>\S+)\s+\S+"\s+(?<status>\d+)\s+(?<bytes>\d+)$. Benannte Gruppen zahlen sich hier aus: Das entstehende Match-Objekt verhält sich dictionary-artig, und jedes Feld ist namentlich adressierbar. Wenn sich das Logformat ändert, ist das Muster zugleich die Dokumentation dessen, was du parst.
Häufige Missverständnisse
„Eine Regex kann eine E-Mail-Adresse vollständig validieren.” Sie kann nur die Form validieren. RFC 5322 ist zu komplex, um sinnvoll in einer Regex zu kodieren – und selbst wenn du es tätest, heißt „Form gültig” noch nicht „Postfach existiert”. Der Industriestandard ist eine einfache Regex plus eine Bestätigungsmail.
„Greedy ist immer langsamer als lazy.” Nicht von Natur aus. Greedy-Matches können schneller sein, wenn das Teilmuster des Quantifizierers stark restriktiv ist, weil die Engine in einem langen Vorwärtsdurchlauf fertig ist. Lazy gewinnt, wenn „der Rest des Musters” den Match verankert, wie in <b>(.*?)</b>. Benchmarke mit realistischen Eingaben, statt reflexhaft nach ? zu greifen.
„Alle Regex-Engines sind gleich.” Sind sie nicht. ECMAScript-Regex fehlen possessive Quantifizierer und atomare Gruppen (das v-Flag moderner Engines schließt einige Lücken, aber nicht diese); Pythons re hat seine eigene Unicode-Property-Menge; PCRE unterstützt Back-References und rekursive Muster; Oniguruma – die Engine, die Ruby und Rusts onig-Crate nutzen – ist noch ein anderer Dialekt. Gos RE2 verzichtet auf Back-References und Lookarounds im Tausch gegen eine Ausführungszeit, die linear in der Eingabe garantiert ist – dieselbe Engine, deren Migration Cloudflare nach dem Vorfall evaluierte. Ein Muster, das du aus einem Perl-Tutorial kopierst, funktioniert in JavaScript möglicherweise nicht und umgekehrt.
„Regex kann HTML (oder JSON oder XML) parsen.” Nein, weil reguläre Sprachen keine ausgewogene Verschachtelung beschreiben können. Regex kann ein spezifisches, wohlgeformtes Teilmuster aus strukturiertem Text extrahieren – einen einzelnen Attributwert etwa – kann aber nicht den gesamten Baum korrekt parsen. Für verschachtelte Formate nutze einen dedizierten Parser (DOMParser, JSON.parse, eine XML-Bibliothek, einen CSV-Reader). Die Stack-Overflow-Saga „Regex vs. HTML” (die Antwort von 2009) ist eine Warnung, keine Debatte.
Checkliste
- Was ist die Eingabe, und was sind die Gegenbeispiele? Schreibe beides, bevor du das Muster schreibst.
- Sind die Daten verschachtelt oder rekursiv? Wenn ja, nutze einen Parser. Regex ist das falsche Werkzeug.
- Welche Engine ist dein Ziel? JavaScript, Python, Go, PCRE unterscheiden sich bei Lookaround, Back-Reference, Unicode.
- Brauchst du den Match selbst oder nur ein Ja/Nein? Bevorzuge nicht-capturende
(?:...)für Gruppen, die nur zu Alternation oder Quantifizierung existieren. - Stammt das Muster von Nutzer:innen oder wird es auf nicht vertrauenswürdige Eingaben angewendet? Sichere gegen katastrophales Backtracking mit einem Zeitlimit, atomaren Gruppen oder einer Engine mit linearer Laufzeit wie RE2 ab. Sonst wirst du zu Cloudflare.
- Führst du anschließend eine Textnormalisierung durch? Kodiere nicht alles in ein einziges riesiges Muster; kombiniere einen einfachen Formcheck mit einem kleinen Nachverarbeitungsschritt.
- Ist die Regex dokumentiert? Multiline-Modus mit
x(extended) oder ein Kommentar über dem Muster ist günstige Versicherung für die nächste Person, die es liest.
Verwandtes Tool
Der Regex-Tester von Patrache Studio führt Muster gegen Beispielinput im Browser aus und zeigt Gruppencaptures inline, was schneller ist als zwischen Tabs zu wechseln. Wenn die zu matchenden Strings selbst strukturiert sind – Logzeilen mit JSON-Payloads, API-Antworten – kombiniere die Regex-Arbeit mit JSON formatieren, validieren und mit Schema prüfen in der Praxis, damit das extrahierte Stück von einem richtigen Parser und nicht von einer zweiten Regex validiert wird. Ein häufiges Regex-Ziel ist eine in einer URL eingebettete UUID; UUID v1 vs. v4 vs. v7: Einen DB-Primärschlüssel wählen behandelt, warum dieselben 36 Zeichen je nach Versionsbits Unterschiedliches bedeuten können.
Quellen
- MDN, „Regular Expressions”-Guide — https://developer.mozilla.org/en-US/docs/Web/JavaScript/Guide/Regular_expressions
- IETF RFC 5322, „Internet Message Format” (E-Mail-Grammatik) — https://datatracker.ietf.org/doc/html/rfc5322
- regex101, interaktiver Tester mit Flavour-Auswahl — https://regex101.com/
- Google, RE2 — Regex-Engine mit linearer Laufzeit — https://github.com/google/re2/wiki/Syntax