hyungi/TK-FB-Project
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix: 보안 취약점 수정 및 XSS 방지 적용

Browse Source 
## 백엔드 보안 수정
- 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거
- SQL Injection 방지를 위한 화이트리스트 검증 추가
- 인증 미적용 API 라우트에 requireAuth 미들웨어 적용
- CSRF 보호 미들웨어 구현 (csrf.js)
- 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js)
- 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js)

## 프론트엔드 XSS 방지
- api-base.js에 전역 escapeHtml() 함수 추가
- 17개 주요 JS 파일에 escapeHtml 적용:
  - tbm.js, daily-patrol.js, daily-work-report.js
  - task-management.js, workplace-status.js
  - equipment-detail.js, equipment-management.js
  - issue-detail.js, issue-report.js
  - vacation-common.js, worker-management.js
  - safety-report-list.js, nonconformity-list.js
  - project-management.js, workplace-management.js

## 정리
- 백업 폴더 및 빈 파일 삭제
- SECURITY_GUIDE.md 문서 추가

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
This commit is contained in:
Hyungi Ahn
2026-02-05 06:33:10 +09:00
parent 7c38c555f5
commit 36f110c90a
97 changed files with 2523 additions and 24267 deletions
Download Patch File Download Diff File Expand all files Collapse all files

59
api.hyungi.net/config/middleware.js
View File

@@ -51,13 +51,58 @@ function setupMiddlewares(app) {
app.use(express.static(path.join(__dirname, '../public')));
app.use('/uploads', express.static(path.join(__dirname, '../uploads')));
// Rate Limiting (필요시 활성화)
// const rateLimit = require('express-rate-limit');
// const limiter = rateLimit({
// windowMs: 15 * 60 * 1000, // 15분
// max: 100 // IP당 최대 100 요청
// });
// app.use('/api/', limiter);
// Rate Limiting - API 요청 제한
const rateLimit = require('express-rate-limit');
// 일반 API 요청 제한
const apiLimiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15분
max: 200, // IP당 최대 200 요청
message: {
success: false,
error: '너무 많은 요청입니다. 잠시 후 다시 시도해주세요.',
code: 'RATE_LIMIT_EXCEEDED'
},
standardHeaders: true,
legacyHeaders: false
});
// 로그인 시도 제한 (브루트포스 방지)
const loginLimiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15분
max: 10, // IP당 최대 10회 로그인 시도
message: {
success: false,
error: '로그인 시도 횟수를 초과했습니다. 15분 후 다시 시도해주세요.',
code: 'LOGIN_RATE_LIMIT_EXCEEDED'
},
standardHeaders: true,
legacyHeaders: false
});
// Rate limiter 적용
app.use('/api/', apiLimiter);
app.use('/api/auth/login', loginLimiter);
logger.info('Rate Limiting 설정 완료');
// CSRF Protection (선택적 - 필요 시 주석 해제)
// const { verifyCsrfToken, getCsrfToken } = require('../middlewares/csrf');
//
// CSRF 토큰 발급 엔드포인트
// app.get('/api/csrf-token', getCsrfToken);
//
// CSRF 검증 미들웨어 (로그인 등 일부 경로 제외)
// app.use('/api/', verifyCsrfToken({
// ignorePaths: [
// '/api/auth/login',
// '/api/auth/register',
// '/api/health',
// '/api/csrf-token'
// ]
// }));
//
// logger.info('CSRF Protection 설정 완료');
logger.info('미들웨어 설정 완료');
}

42
api.hyungi.net/controllers/projectController.js
View File

@@ -21,12 +21,7 @@ exports.createProject = asyncHandler(async (req, res) => {
logger.info('프로젝트 생성 요청', { name: projectData.name });
const id = await new Promise((resolve, reject) => {
projectModel.create(projectData, (err, lastID) => {
if (err) reject(new DatabaseError('프로젝트 생성 중 오류가 발생했습니다'));
else resolve(lastID);
});
});
const id = await projectModel.create(projectData);
// 프로젝트 캐시 무효화
await cache.invalidateCache.project();
@@ -44,12 +39,7 @@ exports.createProject = asyncHandler(async (req, res) => {
* 전체 프로젝트 조회
*/
exports.getAllProjects = asyncHandler(async (req, res) => {
const rows = await new Promise((resolve, reject) => {
projectModel.getAll((err, data) => {
if (err) reject(new DatabaseError('프로젝트 목록 조회 중 오류가 발생했습니다'));
else resolve(data);
});
});
const rows = await projectModel.getAll();
res.json({
success: true,
@@ -62,12 +52,7 @@ exports.getAllProjects = asyncHandler(async (req, res) => {
* 활성 프로젝트만 조회 (작업보고서용)
*/
exports.getActiveProjects = asyncHandler(async (req, res) => {
const rows = await new Promise((resolve, reject) => {
projectModel.getActiveProjects((err, data) => {
if (err) reject(new DatabaseError('활성 프로젝트 목록 조회 중 오류가 발생했습니다'));
else resolve(data);
});
});
const rows = await projectModel.getActiveProjects();
res.json({
success: true,
@@ -86,12 +71,7 @@ exports.getProjectById = asyncHandler(async (req, res) => {
throw new ValidationError('유효하지 않은 프로젝트 ID입니다');
}
const row = await new Promise((resolve, reject) => {
projectModel.getById(id, (err, data) => {
if (err) reject(new DatabaseError('프로젝트 조회 중 오류가 발생했습니다'));
else resolve(data);
});
});
const row = await projectModel.getById(id);
if (!row) {
throw new NotFoundError('프로젝트를 찾을 수 없습니다');
@@ -116,12 +96,7 @@ exports.updateProject = asyncHandler(async (req, res) => {
const data = { ...req.body, project_id: id };
const changes = await new Promise((resolve, reject) => {
projectModel.update(data, (err, ch) => {
if (err) reject(new DatabaseError('프로젝트 수정 중 오류가 발생했습니다'));
else resolve(ch);
});
});
const changes = await projectModel.update(data);
if (changes === 0) {
throw new NotFoundError('프로젝트를 찾을 수 없습니다');
@@ -149,12 +124,7 @@ exports.removeProject = asyncHandler(async (req, res) => {
throw new ValidationError('유효하지 않은 프로젝트 ID입니다');
}
const changes = await new Promise((resolve, reject) => {
projectModel.remove(id, (err, ch) => {
if (err) reject(new DatabaseError('프로젝트 삭제 중 오류가 발생했습니다'));
else resolve(ch);
});
});
const changes = await projectModel.remove(id);
if (changes === 0) {
throw new NotFoundError('프로젝트를 찾을 수 없습니다');

49
api.hyungi.net/controllers/taskController.js
View File

@@ -27,12 +27,7 @@ exports.createTask = asyncHandler(async (req, res) => {
logger.info('작업 생성 요청', { name: taskData.task_name });
const id = await new Promise((resolve, reject) => {
taskModel.createTask(taskData, (err, lastID) => {
if (err) reject(new DatabaseError('작업 생성 중 오류가 발생했습니다'));
else resolve(lastID);
});
});
const id = await taskModel.createTask(taskData);
logger.info('작업 생성 성공', { task_id: id });
@@ -47,12 +42,7 @@ exports.createTask = asyncHandler(async (req, res) => {
* 전체 작업 조회
*/
exports.getAllTasks = asyncHandler(async (req, res) => {
const rows = await new Promise((resolve, reject) => {
taskModel.getAllTasks((err, data) => {
if (err) reject(new DatabaseError('작업 목록 조회 중 오류가 발생했습니다'));
else resolve(data);
});
});
const rows = await taskModel.getAllTasks();
res.json({
success: true,
@@ -65,12 +55,7 @@ exports.getAllTasks = asyncHandler(async (req, res) => {
* 활성 작업만 조회
*/
exports.getActiveTasks = asyncHandler(async (req, res) => {
const rows = await new Promise((resolve, reject) => {
taskModel.getActiveTasks((err, data) => {
if (err) reject(new DatabaseError('활성 작업 목록 조회 중 오류가 발생했습니다'));
else resolve(data);
});
});
const rows = await taskModel.getActiveTasks();
res.json({
success: true,
@@ -89,12 +74,7 @@ exports.getTasksByWorkType = asyncHandler(async (req, res) => {
throw new ValidationError('공정 ID가 필요합니다');
}
const rows = await new Promise((resolve, reject) => {
taskModel.getTasksByWorkType(workTypeId, (err, data) => {
if (err) reject(new DatabaseError('공정별 작업 목록 조회 중 오류가 발생했습니다'));
else resolve(data);
});
});
const rows = await taskModel.getTasksByWorkType(workTypeId);
res.json({
success: true,
@@ -109,12 +89,7 @@ exports.getTasksByWorkType = asyncHandler(async (req, res) => {
exports.getTaskById = asyncHandler(async (req, res) => {
const taskId = req.params.id;
const task = await new Promise((resolve, reject) => {
taskModel.getTaskById(taskId, (err, data) => {
if (err) reject(new DatabaseError('작업 조회 중 오류가 발생했습니다'));
else resolve(data);
});
});
const task = await taskModel.getTaskById(taskId);
if (!task) {
throw new NotFoundError('작업을 찾을 수 없습니다');
@@ -140,12 +115,7 @@ exports.updateTask = asyncHandler(async (req, res) => {
logger.info('작업 수정 요청', { task_id: taskId });
await new Promise((resolve, reject) => {
taskModel.updateTask(taskId, taskData, (err, result) => {
if (err) reject(new DatabaseError('작업 수정 중 오류가 발생했습니다'));
else resolve(result);
});
});
await taskModel.updateTask(taskId, taskData);
logger.info('작업 수정 성공', { task_id: taskId });
@@ -163,12 +133,7 @@ exports.deleteTask = asyncHandler(async (req, res) => {
logger.info('작업 삭제 요청', { task_id: taskId });
await new Promise((resolve, reject) => {
taskModel.deleteTask(taskId, (err, result) => {
if (err) reject(new DatabaseError('작업 삭제 중 오류가 발생했습니다'));
else resolve(result);
});
});
await taskModel.deleteTask(taskId);
logger.info('작업 삭제 성공', { task_id: taskId });

201
api.hyungi.net/middlewares/csrf.js Normal file
View File

@@ -0,0 +1,201 @@
/**
* CSRF Protection Middleware
*
* Cross-Site Request Forgery 방지를 위한 토큰 기반 보호
*
* 구현 방식:
* 1. 서버에서 CSRF 토큰 생성 및 응답 헤더로 전송
* 2. 클라이언트는 state-changing 요청 시 토큰을 헤더에 포함
* 3. 서버에서 토큰 검증
*
* @author TK-FB-Project
* @since 2026-02-04
*/
const crypto = require('crypto');
const logger = require('../utils/logger');
// 토큰 저장소 (프로덕션에서는 Redis 사용 권장)
const tokenStore = new Map();
// 토큰 유효 시간 (1시간)
const TOKEN_EXPIRY = 60 * 60 * 1000;
// 토큰 정리 주기 (5분)
const CLEANUP_INTERVAL = 5 * 60 * 1000;
/**
* 만료된 토큰 정리
*/
const cleanupExpiredTokens = () => {
const now = Date.now();
for (const [token, data] of tokenStore.entries()) {
if (now > data.expiresAt) {
tokenStore.delete(token);
}
}
};
// 주기적 정리
setInterval(cleanupExpiredTokens, CLEANUP_INTERVAL);
/**
* CSRF 토큰 생성
*
* @param {string} sessionId - 세션 ID 또는 사용자 식별자
* @returns {string} 생성된 CSRF 토큰
*/
const generateToken = (sessionId) => {
const token = crypto.randomBytes(32).toString('hex');
const expiresAt = Date.now() + TOKEN_EXPIRY;
tokenStore.set(token, {
sessionId,
expiresAt,
createdAt: Date.now()
});
return token;
};
/**
* CSRF 토큰 검증
*
* @param {string} token - 검증할 토큰
* @param {string} sessionId - 세션 ID
* @returns {boolean} 유효 여부
*/
const validateToken = (token, sessionId) => {
if (!token || !tokenStore.has(token)) {
return false;
}
const data = tokenStore.get(token);
// 만료 체크
if (Date.now() > data.expiresAt) {
tokenStore.delete(token);
return false;
}
// 세션 일치 체크
if (data.sessionId !== sessionId) {
return false;
}
return true;
};
/**
* CSRF 토큰을 응답 헤더에 설정하는 미들웨어
*
* @param {Object} req - Express request
* @param {Object} res - Express response
* @param {Function} next - Next middleware
*/
const setCsrfToken = (req, res, next) => {
// 세션 ID 또는 사용자 ID 사용
const sessionId = req.user?.user_id?.toString() || req.sessionID || req.ip;
// 새 토큰 생성
const token = generateToken(sessionId);
// 응답 헤더에 토큰 설정
res.setHeader('X-CSRF-Token', token);
// 요청 객체에 저장 (다른 미들웨어에서 사용 가능)
req.csrfToken = token;
next();
};
/**
* CSRF 토큰 검증 미들웨어
* POST, PUT, DELETE, PATCH 요청에 적용
*
* @param {Object} options - 옵션
* @param {string[]} options.ignoreMethods - 검증 제외 메서드 (기본: GET, HEAD, OPTIONS)
* @param {string[]} options.ignorePaths - 검증 제외 경로 (정규식 패턴 가능)
* @returns {Function} Express 미들웨어
*/
const verifyCsrfToken = (options = {}) => {
const {
ignoreMethods = ['GET', 'HEAD', 'OPTIONS'],
ignorePaths = ['/api/auth/login', '/api/auth/register', '/api/health']
} = options;
return (req, res, next) => {
// 제외 메서드 체크
if (ignoreMethods.includes(req.method)) {
return next();
}
// 제외 경로 체크
for (const pattern of ignorePaths) {
if (typeof pattern === 'string' && req.path === pattern) {
return next();
}
if (pattern instanceof RegExp && pattern.test(req.path)) {
return next();
}
}
// 토큰 추출 (헤더 또는 body에서)
const token = req.headers['x-csrf-token'] ||
req.headers['csrf-token'] ||
req.body?._csrf ||
req.query?._csrf;
// 세션 ID
const sessionId = req.user?.user_id?.toString() || req.sessionID || req.ip;
// 토큰 검증
if (!validateToken(token, sessionId)) {
logger.warn('CSRF 토큰 검증 실패', {
path: req.path,
method: req.method,
ip: req.ip,
hasToken: !!token
});
return res.status(403).json({
success: false,
error: 'CSRF 토큰이 유효하지 않습니다. 페이지를 새로고침 후 다시 시도해주세요.',
code: 'CSRF_TOKEN_INVALID'
});
}
// 사용된 토큰 제거 (일회성 사용)
tokenStore.delete(token);
// 새 토큰 발급
const newToken = generateToken(sessionId);
res.setHeader('X-CSRF-Token', newToken);
req.csrfToken = newToken;
next();
};
};
/**
* CSRF 토큰 발급 엔드포인트 핸들러
* GET /api/csrf-token
*/
const getCsrfToken = (req, res) => {
const sessionId = req.user?.user_id?.toString() || req.sessionID || req.ip;
const token = generateToken(sessionId);
res.json({
success: true,
csrfToken: token,
expiresIn: TOKEN_EXPIRY / 1000 // 초 단위
});
};
module.exports = {
generateToken,
validateToken,
setCsrfToken,
verifyCsrfToken,
getCsrfToken
};

62
api.hyungi.net/models/issueTypeModel.js
View File

@@ -1,53 +1,37 @@
const { getDb } = require('../dbPool');
// CREATE
const create = async (type, callback) => {
try {
const db = await getDb();
const [result] = await db.query(
`INSERT INTO IssueTypes (category, subcategory) VALUES (?, ?)`,
[type.category, type.subcategory]
);
callback(null, result.insertId);
} catch (err) {
callback(err);
}
const create = async (type) => {
const db = await getDb();
const [result] = await db.query(
`INSERT INTO IssueTypes (category, subcategory) VALUES (?, ?)`,
[type.category, type.subcategory]
);
return result.insertId;
};
// READ ALL
const getAll = async (callback) => {
try {
const db = await getDb();
const [rows] = await db.query(`SELECT issue_type_id, category, subcategory FROM IssueTypes ORDER BY category, subcategory`);
callback(null, rows);
} catch (err) {
callback(err);
}
const getAll = async () => {
const db = await getDb();
const [rows] = await db.query(`SELECT issue_type_id, category, subcategory FROM IssueTypes ORDER BY category, subcategory`);
return rows;
};
// UPDATE
const update = async (id, type, callback) => {
try {
const db = await getDb();
const [result] = await db.query(
`UPDATE IssueTypes SET category = ?, subcategory = ? WHERE id = ?`,
[type.category, type.subcategory, id]
);
callback(null, result.affectedRows);
} catch (err) {
callback(err);
}
const update = async (id, type) => {
const db = await getDb();
const [result] = await db.query(
`UPDATE IssueTypes SET category = ?, subcategory = ? WHERE id = ?`,
[type.category, type.subcategory, id]
);
return result.affectedRows;
};
// DELETE
const remove = async (id, callback) => {
try {
const db = await getDb();
const [result] = await db.query(`DELETE FROM IssueTypes WHERE id = ?`, [id]);
callback(null, result.affectedRows);
} catch (err) {
callback(err);
}
const remove = async (id) => {
const db = await getDb();
const [result] = await db.query(`DELETE FROM IssueTypes WHERE id = ?`, [id]);
return result.affectedRows;
};
module.exports = {
@@ -55,4 +39,4 @@ module.exports = {
getAll,
update,
remove
};
};

166
api.hyungi.net/models/projectModel.js
View File

@@ -1,113 +1,89 @@
const { getDb } = require('../dbPool');
const create = async (project, callback) => {
try {
const db = await getDb();
const {
job_no, project_name,
contract_date, due_date,
delivery_method, site, pm,
is_active = true,
project_status = 'active',
completed_date = null
} = project;
const [result] = await db.query(
`INSERT INTO projects
(job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date)
VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?)`,
[job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date]
);
const create = async (project) => {
const db = await getDb();
const {
job_no, project_name,
contract_date, due_date,
delivery_method, site, pm,
is_active = true,
project_status = 'active',
completed_date = null
} = project;
callback(null, result.insertId);
} catch (err) {
callback(err);
}
const [result] = await db.query(
`INSERT INTO projects
(job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date)
VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?, ?)`,
[job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date]
);
return result.insertId;
};
const getAll = async (callback) => {
try {
const db = await getDb();
const [rows] = await db.query(
`SELECT project_id, job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date, created_at, updated_at FROM projects ORDER BY project_id DESC`
);
callback(null, rows);
} catch (err) {
callback(err);
}
const getAll = async () => {
const db = await getDb();
const [rows] = await db.query(
`SELECT project_id, job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date, created_at, updated_at FROM projects ORDER BY project_id DESC`
);
return rows;
};
// 활성 프로젝트만 조회 (작업보고서용)
const getActiveProjects = async (callback) => {
try {
const db = await getDb();
const [rows] = await db.query(
`SELECT project_id, job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date, created_at, updated_at FROM projects
WHERE is_active = TRUE
ORDER BY project_name ASC`
);
callback(null, rows);
} catch (err) {
callback(err);
}
const getActiveProjects = async () => {
const db = await getDb();
const [rows] = await db.query(
`SELECT project_id, job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date, created_at, updated_at FROM projects
WHERE is_active = TRUE
ORDER BY project_name ASC`
);
return rows;
};
const getById = async (project_id, callback) => {
try {
const db = await getDb();
const [rows] = await db.query(
`SELECT project_id, job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date, created_at, updated_at FROM projects WHERE project_id = ?`,
[project_id]
);
callback(null, rows[0]);
} catch (err) {
callback(err);
}
const getById = async (project_id) => {
const db = await getDb();
const [rows] = await db.query(
`SELECT project_id, job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date, created_at, updated_at FROM projects WHERE project_id = ?`,
[project_id]
);
return rows[0];
};
const update = async (project, callback) => {
try {
const db = await getDb();
const {
project_id, job_no, project_name,
contract_date, due_date,
delivery_method, site, pm,
is_active, project_status, completed_date
} = project;
const update = async (project) => {
const db = await getDb();
const {
project_id, job_no, project_name,
contract_date, due_date,
delivery_method, site, pm,
is_active, project_status, completed_date
} = project;
const [result] = await db.query(
`UPDATE projects
SET job_no = ?,
project_name = ?,
contract_date = ?,
due_date = ?,
delivery_method= ?,
site = ?,
pm = ?,
is_active = ?,
project_status = ?,
completed_date = ?
WHERE project_id = ?`,
[job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date, project_id]
);
const [result] = await db.query(
`UPDATE projects
SET job_no = ?,
project_name = ?,
contract_date = ?,
due_date = ?,
delivery_method= ?,
site = ?,
pm = ?,
is_active = ?,
project_status = ?,
completed_date = ?
WHERE project_id = ?`,
[job_no, project_name, contract_date, due_date, delivery_method, site, pm, is_active, project_status, completed_date, project_id]
);
callback(null, result.affectedRows);
} catch (err) {
callback(new Error(err.message || String(err)));
}
return result.affectedRows;
};
const remove = async (project_id, callback) => {
try {
const db = await getDb();
const [result] = await db.query(
`DELETE FROM projects WHERE project_id = ?`,
[project_id]
);
callback(null, result.affectedRows);
} catch (err) {
callback(err);
}
const remove = async (project_id) => {
const db = await getDb();
const [result] = await db.query(
`DELETE FROM projects WHERE project_id = ?`,
[project_id]
);
return result.affectedRows;
};
module.exports = {
@@ -117,4 +93,4 @@ module.exports = {
getById,
update,
remove
};
};

194
api.hyungi.net/models/taskModel.js
View File

@@ -12,151 +12,123 @@ const { getDb } = require('../dbPool');
/**
* 작업 생성
*/
const createTask = async (taskData, callback) => {
try {
const db = await getDb();
const { work_type_id, task_name, description } = taskData;
const createTask = async (taskData) => {
const db = await getDb();
const { work_type_id, task_name, description } = taskData;
const [result] = await db.query(
`INSERT INTO tasks (work_type_id, task_name, description, is_active)
VALUES (?, ?, ?, 1)`,
[work_type_id || null, task_name, description || null]
);
const [result] = await db.query(
`INSERT INTO tasks (work_type_id, task_name, description, is_active)
VALUES (?, ?, ?, 1)`,
[work_type_id || null, task_name, description || null]
);
callback(null, result.insertId);
} catch (err) {
callback(err);
}
return result.insertId;
};
/**
* 전체 작업 목록 조회 (공정 정보 포함)
*/
const getAllTasks = async (callback) => {
try {
const db = await getDb();
const [rows] = await db.query(
`SELECT t.task_id, t.work_type_id, t.task_name, t.description, t.is_active,
t.created_at, t.updated_at,
wt.name as work_type_name, wt.category
FROM tasks t
LEFT JOIN work_types wt ON t.work_type_id = wt.id
ORDER BY wt.category ASC, t.task_id DESC`
);
callback(null, rows);
} catch (err) {
callback(err);
}
const getAllTasks = async () => {
const db = await getDb();
const [rows] = await db.query(
`SELECT t.task_id, t.work_type_id, t.task_name, t.description, t.is_active,
t.created_at, t.updated_at,
wt.name as work_type_name, wt.category
FROM tasks t
LEFT JOIN work_types wt ON t.work_type_id = wt.id
ORDER BY wt.category ASC, t.task_id DESC`
);
return rows;
};
/**
* 활성 작업만 조회
*/
const getActiveTasks = async (callback) => {
try {
const db = await getDb();
const [rows] = await db.query(
`SELECT t.task_id, t.work_type_id, t.task_name, t.description,
wt.name as work_type_name, wt.category
FROM tasks t
LEFT JOIN work_types wt ON t.work_type_id = wt.id
WHERE t.is_active = 1
ORDER BY wt.category ASC, t.task_name ASC`
);
callback(null, rows);
} catch (err) {
callback(err);
}
const getActiveTasks = async () => {
const db = await getDb();
const [rows] = await db.query(
`SELECT t.task_id, t.work_type_id, t.task_name, t.description,
wt.name as work_type_name, wt.category
FROM tasks t
LEFT JOIN work_types wt ON t.work_type_id = wt.id
WHERE t.is_active = 1
ORDER BY wt.category ASC, t.task_name ASC`
);
return rows;
};
/**
* 공정별 작업 목록 조회
*/
const getTasksByWorkType = async (workTypeId, callback) => {
try {
const db = await getDb();
const [rows] = await db.query(
`SELECT t.task_id, t.work_type_id, t.task_name, t.description, t.is_active,
t.created_at, t.updated_at,
wt.name as work_type_name, wt.category
FROM tasks t
LEFT JOIN work_types wt ON t.work_type_id = wt.id
WHERE t.work_type_id = ?
ORDER BY t.task_id DESC`,
[workTypeId]
);
callback(null, rows);
} catch (err) {
callback(err);
}
const getTasksByWorkType = async (workTypeId) => {
const db = await getDb();
const [rows] = await db.query(
`SELECT t.task_id, t.work_type_id, t.task_name, t.description, t.is_active,
t.created_at, t.updated_at,
wt.name as work_type_name, wt.category
FROM tasks t
LEFT JOIN work_types wt ON t.work_type_id = wt.id
WHERE t.work_type_id = ?
ORDER BY t.task_id DESC`,
[workTypeId]
);
return rows;
};
/**
* 단일 작업 조회
*/
const getTaskById = async (taskId, callback) => {
try {
const db = await getDb();
const [rows] = await db.query(
`SELECT t.task_id, t.work_type_id, t.task_name, t.description, t.is_active,
t.created_at, t.updated_at,
wt.name as work_type_name, wt.category
FROM tasks t
LEFT JOIN work_types wt ON t.work_type_id = wt.id
WHERE t.task_id = ?`,
[taskId]
);
callback(null, rows[0] || null);
} catch (err) {
callback(err);
}
const getTaskById = async (taskId) => {
const db = await getDb();
const [rows] = await db.query(
`SELECT t.task_id, t.work_type_id, t.task_name, t.description, t.is_active,
t.created_at, t.updated_at,
wt.name as work_type_name, wt.category
FROM tasks t
LEFT JOIN work_types wt ON t.work_type_id = wt.id
WHERE t.task_id = ?`,
[taskId]
);
return rows[0] || null;
};
/**
* 작업 수정
*/
const updateTask = async (taskId, taskData, callback) => {
try {
const db = await getDb();
const { work_type_id, task_name, description, is_active } = taskData;
const updateTask = async (taskId, taskData) => {
const db = await getDb();
const { work_type_id, task_name, description, is_active } = taskData;
const [result] = await db.query(
`UPDATE tasks
SET work_type_id = ?,
task_name = ?,
description = ?,
is_active = ?,
updated_at = NOW()
WHERE task_id = ?`,
[
work_type_id || null,
task_name,
description || null,
is_active !== undefined ? is_active : 1,
taskId
]
);
const [result] = await db.query(
`UPDATE tasks
SET work_type_id = ?,
task_name = ?,
description = ?,
is_active = ?,
updated_at = NOW()
WHERE task_id = ?`,
[
work_type_id || null,
task_name,
description || null,
is_active !== undefined ? is_active : 1,
taskId
]
);
callback(null, result);
} catch (err) {
callback(err);
}
return result;
};
/**
* 작업 삭제
*/
const deleteTask = async (taskId, callback) => {
try {
const db = await getDb();
const [result] = await db.query(
`DELETE FROM tasks WHERE task_id = ?`,
[taskId]
);
callback(null, result);
} catch (err) {
callback(err);
}
const deleteTask = async (taskId) => {
const db = await getDb();
const [result] = await db.query(
`DELETE FROM tasks WHERE task_id = ?`,
[taskId]
);
return result;
};
module.exports = {

103
api.hyungi.net/models/toolsModel.js
View File

@@ -1,89 +1,68 @@
const { getDb } = require('../dbPool');
// 1. 전체 도구 조회
const getAll = async (callback) => {
try {
const db = await getDb();
const [rows] = await db.query('SELECT id, name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note FROM Tools');
callback(null, rows);
} catch (err) {
callback(err);
}
const getAll = async () => {
const db = await getDb();
const [rows] = await db.query('SELECT id, name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note FROM Tools');
return rows;
};
// 2. 단일 도구 조회
const getById = async (id, callback) => {
try {
const db = await getDb();
const [rows] = await db.query('SELECT id, name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note FROM Tools WHERE id = ?', [id]);
callback(null, rows[0]);
} catch (err) {
callback(err);
}
const getById = async (id) => {
const db = await getDb();
const [rows] = await db.query('SELECT id, name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note FROM Tools WHERE id = ?', [id]);
return rows[0];
};
// 3. 도구 생성
const create = async (tool, callback) => {
try {
const db = await getDb();
const { name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note } = tool;
const create = async (tool) => {
const db = await getDb();
const { name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note } = tool;
const [result] = await db.query(
`INSERT INTO Tools
(name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note)
VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?)`,
[name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note]
);
const [result] = await db.query(
`INSERT INTO Tools
(name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note)
VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?)`,
[name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note]
);
callback(null, result.insertId);
} catch (err) {
callback(err);
}
return result.insertId;
};
// 4. 도구 수정
const update = async (id, tool, callback) => {
try {
const db = await getDb();
const { name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note } = tool;
const update = async (id, tool) => {
const db = await getDb();
const { name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note } = tool;
const [result] = await db.query(
`UPDATE Tools
SET name = ?,
location = ?,
stock = ?,
status = ?,
factory_id = ?,
map_x = ?,
map_y = ?,
map_zone = ?,
map_note = ?
WHERE id = ?`,
[name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note, id]
);
const [result] = await db.query(
`UPDATE Tools
SET name = ?,
location = ?,
stock = ?,
status = ?,
factory_id = ?,
map_x = ?,
map_y = ?,
map_zone = ?,
map_note = ?
WHERE id = ?`,
[name, location, stock, status, factory_id, map_x, map_y, map_zone, map_note, id]
);
callback(null, result.affectedRows);
} catch (err) {
callback(new Error(err.message || String(err)));
}
return result.affectedRows;
};
// 5. 도구 삭제
const remove = async (id, callback) => {
try {
const db = await getDb();
const [result] = await db.query('DELETE FROM Tools WHERE id = ?', [id]);
callback(null, result.affectedRows);
} catch (err) {
callback(err);
}
const remove = async (id) => {
const db = await getDb();
const [result] = await db.query('DELETE FROM Tools WHERE id = ?', [id]);
return result.affectedRows;
};
// ✅ export 정리
module.exports = {
getAll,
getById,
create,
update,
remove
};
};

59
api.hyungi.net/models/uploadModel.js
View File

@@ -1,45 +1,36 @@
const { getDb } = require('../dbPool');
// 1. 문서 업로드
const create = async (doc, callback) => {
try {
const db = await getDb();
const sql = `
INSERT INTO uploaded_documents
(title, tags, description, original_name, stored_name, file_path, file_type, file_size, submitted_by)
VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?)
`;
const values = [
doc.title,
doc.tags,
doc.description,
doc.original_name,
doc.stored_name,
doc.file_path,
doc.file_type,
doc.file_size,
doc.submitted_by
];
const [result] = await db.query(sql, values);
callback(null, result.insertId);
} catch (err) {
callback(new Error(err.message || String(err)));
}
const create = async (doc) => {
const db = await getDb();
const sql = `
INSERT INTO uploaded_documents
(title, tags, description, original_name, stored_name, file_path, file_type, file_size, submitted_by)
VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?)
`;
const values = [
doc.title,
doc.tags,
doc.description,
doc.original_name,
doc.stored_name,
doc.file_path,
doc.file_type,
doc.file_size,
doc.submitted_by
];
const [result] = await db.query(sql, values);
return result.insertId;
};
// 2. 전체 문서 목록 조회
const getAll = async (callback) => {
try {
const db = await getDb();
const [rows] = await db.query(`SELECT * FROM uploaded_documents ORDER BY created_at DESC`);
callback(null, rows);
} catch (err) {
callback(err);
}
const getAll = async () => {
const db = await getDb();
const [rows] = await db.query(`SELECT * FROM uploaded_documents ORDER BY created_at DESC`);
return rows;
};
// ✅ 내보내기
module.exports = {
create,
getAll
};
};

246
api.hyungi.net/models/workerModel.js
View File

@@ -10,152 +10,133 @@ const formatDate = (dateStr) => {
};
// 1. 작업자 생성
const create = async (worker, callback) => {
try {
const db = await getDb();
const {
worker_name,
job_type = null,
join_date = null,
salary = null,
annual_leave = null,
status = 'active',
employment_status = 'employed',
department_id = null
} = worker;
const create = async (worker) => {
const db = await getDb();
const {
worker_name,
job_type = null,
join_date = null,
salary = null,
annual_leave = null,
status = 'active',
employment_status = 'employed',
department_id = null
} = worker;
const [result] = await db.query(
`INSERT INTO workers
(worker_name, job_type, join_date, salary, annual_leave, status, employment_status, department_id)
VALUES (?, ?, ?, ?, ?, ?, ?, ?)`,
[worker_name, job_type, formatDate(join_date), salary, annual_leave, status, employment_status, department_id]
);
const [result] = await db.query(
`INSERT INTO workers
(worker_name, job_type, join_date, salary, annual_leave, status, employment_status, department_id)
VALUES (?, ?, ?, ?, ?, ?, ?, ?)`,
[worker_name, job_type, formatDate(join_date), salary, annual_leave, status, employment_status, department_id]
);
callback(null, result.insertId);
} catch (err) {
console.error('❌ create 함수 에러:', err);
callback(err);
}
return result.insertId;
};
// 2. 전체 조회
const getAll = async (callback) => {
try {
const db = await getDb();
const [rows] = await db.query(`
SELECT
w.*,
CASE WHEN w.status = 'active' THEN 1 ELSE 0 END AS is_active,
u.user_id,
d.department_name
FROM workers w
LEFT JOIN users u ON w.worker_id = u.worker_id
LEFT JOIN departments d ON w.department_id = d.department_id
ORDER BY w.worker_id DESC
`);
callback(null, rows);
} catch (err) {
callback(err);
}
const getAll = async () => {
const db = await getDb();
const [rows] = await db.query(`
SELECT
w.*,
CASE WHEN w.status = 'active' THEN 1 ELSE 0 END AS is_active,
u.user_id,
d.department_name
FROM workers w
LEFT JOIN users u ON w.worker_id = u.worker_id
LEFT JOIN departments d ON w.department_id = d.department_id
ORDER BY w.worker_id DESC
`);
return rows;
};
// 3. 단일 조회
const getById = async (worker_id, callback) => {
try {
const db = await getDb();
const [rows] = await db.query(`
SELECT
w.*,
CASE WHEN w.status = 'active' THEN 1 ELSE 0 END AS is_active,
u.user_id,
d.department_name
FROM workers w
LEFT JOIN users u ON w.worker_id = u.worker_id
LEFT JOIN departments d ON w.department_id = d.department_id
WHERE w.worker_id = ?
`, [worker_id]);
callback(null, rows[0]);
} catch (err) {
callback(err);
}
const getById = async (worker_id) => {
const db = await getDb();
const [rows] = await db.query(`
SELECT
w.*,
CASE WHEN w.status = 'active' THEN 1 ELSE 0 END AS is_active,
u.user_id,
d.department_name
FROM workers w
LEFT JOIN users u ON w.worker_id = u.worker_id
LEFT JOIN departments d ON w.department_id = d.department_id
WHERE w.worker_id = ?
`, [worker_id]);
return rows[0];
};
// 4. 작업자 수정
const update = async (worker, callback) => {
try {
const db = await getDb();
const {
worker_id,
worker_name,
job_type,
status,
join_date,
salary,
annual_leave,
employment_status,
department_id
} = worker;
const update = async (worker) => {
const db = await getDb();
const {
worker_id,
worker_name,
job_type,
status,
join_date,
salary,
annual_leave,
employment_status,
department_id
} = worker;
// 업데이트할 필드만 동적으로 구성
const updates = [];
const values = [];
// 업데이트할 필드만 동적으로 구성
const updates = [];
const values = [];
if (worker_name !== undefined) {
updates.push('worker_name = ?');
values.push(worker_name);
}
if (job_type !== undefined) {
updates.push('job_type = ?');
values.push(job_type);
}
if (status !== undefined) {
updates.push('status = ?');
values.push(status);
}
if (join_date !== undefined) {
updates.push('join_date = ?');
values.push(formatDate(join_date));
}
if (salary !== undefined) {
updates.push('salary = ?');
values.push(salary);
}
if (annual_leave !== undefined) {
updates.push('annual_leave = ?');
values.push(annual_leave);
}
if (employment_status !== undefined) {
updates.push('employment_status = ?');
values.push(employment_status);
}
if (department_id !== undefined) {
updates.push('department_id = ?');
values.push(department_id);
}
if (updates.length === 0) {
callback(new Error('업데이트할 필드가 없습니다'));
return;
}
values.push(worker_id); // WHERE 조건용
const query = `UPDATE workers SET ${updates.join(', ')} WHERE worker_id = ?`;
console.log('🔍 실행할 SQL:', query);
console.log('🔍 SQL 파라미터:', values);
const [result] = await db.query(query, values);
callback(null, result.affectedRows);
} catch (err) {
console.error('❌ update 함수 에러:', err);
callback(new Error(err.message || String(err)));
if (worker_name !== undefined) {
updates.push('worker_name = ?');
values.push(worker_name);
}
if (job_type !== undefined) {
updates.push('job_type = ?');
values.push(job_type);
}
if (status !== undefined) {
updates.push('status = ?');
values.push(status);
}
if (join_date !== undefined) {
updates.push('join_date = ?');
values.push(formatDate(join_date));
}
if (salary !== undefined) {
updates.push('salary = ?');
values.push(salary);
}
if (annual_leave !== undefined) {
updates.push('annual_leave = ?');
values.push(annual_leave);
}
if (employment_status !== undefined) {
updates.push('employment_status = ?');
values.push(employment_status);
}
if (department_id !== undefined) {
updates.push('department_id = ?');
values.push(department_id);
}
if (updates.length === 0) {
throw new Error('업데이트할 필드가 없습니다');
}
values.push(worker_id); // WHERE 조건용
const query = `UPDATE workers SET ${updates.join(', ')} WHERE worker_id = ?`;
console.log('🔍 실행할 SQL:', query);
console.log('🔍 SQL 파라미터:', values);
const [result] = await db.query(query, values);
return result.affectedRows;
};
// 5. 삭제 (외래키 제약조건 처리)
const remove = async (worker_id, callback) => {
const remove = async (worker_id) => {
const db = await getDb();
const conn = await db.getConnection();
@@ -196,22 +177,21 @@ const remove = async (worker_id, callback) => {
console.log(`✅ 작업자 삭제 완료: ${result.affectedRows}`);
await conn.commit();
callback(null, result.affectedRows);
return result.affectedRows;
} catch (err) {
await conn.rollback();
console.error(`❌ 작업자 삭제 오류 (worker_id: ${worker_id}):`, err);
callback(new Error(`작업자 삭제 중 오류가 발생했습니다: ${err.message}`));
throw new Error(`작업자 삭제 중 오류가 발생했습니다: ${err.message}`);
} finally {
conn.release();
}
};
// ✅ 모듈 내보내기 (정상 구조)
module.exports = {
create,
getAll,
getById,
update,
remove
};
};

0
api.hyungi.net/models/your_database.db
View File

18
api.hyungi.net/routes/auth.js
View File

@@ -5,12 +5,13 @@ const jwt = require('jsonwebtoken');
const { requireAuth, requireRole } = require('../middlewares/auth');
const router = express.Router();
// 임시 사용자 데이터
// 임시 사용자 데이터 (실제 운영 시 DB 사용 필수)
// 비밀번호 해시는 bcrypt.hash('password', 10)으로 생성됨
let users = [
{
user_id: 1,
username: 'admin',
password: '$2b$10$example',
password: '$2b$10$N9qo8uLOickgx2ZMRZoMyeIjZRGdjGj/n3.w7VtL.r8yR.nTfC7Hy', // 'password' 해시
name: '관리자',
access_level: 'admin',
worker_id: null,
@@ -19,7 +20,7 @@ let users = [
{
user_id: 2,
username: 'group_leader1',
password: '$2b$10$example',
password: '$2b$10$N9qo8uLOickgx2ZMRZoMyeIjZRGdjGj/n3.w7VtL.r8yR.nTfC7Hy', // 'password' 해시
name: '김그룹장',
access_level: 'group_leader',
worker_id: 1,
@@ -27,6 +28,11 @@ let users = [
}
];
// 보안 경고: 운영 환경에서는 반드시 .env의 JWT_SECRET을 설정해야 합니다
if (!process.env.JWT_SECRET) {
console.warn('⚠️ WARNING: JWT_SECRET이 설정되지 않았습니다. 운영 환경에서는 반드시 설정하세요!');
}
/**
* 로그인
*/
@@ -43,8 +49,8 @@ router.post('/login', async (req, res) => {
return res.status(401).json({ error: '사용자를 찾을 수 없습니다.' });
}
// 비밀번호 확인 (실제로는 bcrypt.compare 사용)
const isValid = password === 'password'; // 임시
// 비밀번호 확인 (bcrypt.compare 사용)
const isValid = await bcrypt.compare(password, user.password);
if (!isValid) {
return res.status(401).json({ error: '비밀번호가 올바르지 않습니다.' });
}
@@ -57,7 +63,7 @@ router.post('/login', async (req, res) => {
access_level: user.access_level,
worker_id: user.worker_id
},
process.env.JWT_SECRET || 'your-secret-key',
process.env.JWT_SECRET,
{ expiresIn: '24h' }
);

27
api.hyungi.net/routes/authRoutes.js
View File

@@ -11,6 +11,7 @@ const bcrypt = require('bcryptjs');
const jwt = require('jsonwebtoken');
const mysql = require('mysql2/promise');
const { verifyToken } = require('../middlewares/authMiddleware');
const { validatePassword, getPasswordError } = require('../utils/passwordValidator');
const router = express.Router();
const authController = require('../controllers/authController');
@@ -213,16 +214,19 @@ router.post('/change-password', verifyToken, async (req, res) => {
});
}
// 비밀번호 강도 검증
if (newPassword.length < 6) {
return res.status(400).json({
// 비밀번호 강도 검증 (12자 이상, 대/소문자, 숫자, 특수문자 필수)
const passwordValidation = validatePassword(newPassword);
if (!passwordValidation.valid) {
return res.status(400).json({
success: false,
error: '비밀번호는 최소 6자 이상이어야 합니다.'
error: '비밀번호가 보안 요구사항을 충족하지 않습니다.',
details: passwordValidation.errors,
code: 'WEAK_PASSWORD'
});
}
connection = await mysql.createConnection(dbConfig);
// 현재 사용자의 비밀번호 조회
const [users] = await connection.execute(
'SELECT password FROM Users WHERE user_id = ?',
@@ -320,16 +324,19 @@ router.post('/admin/change-password', verifyToken, async (req, res) => {
});
}
// 비밀번호 강도 검증
if (newPassword.length < 6) {
return res.status(400).json({
// 비밀번호 강도 검증 (12자 이상, 대/소문자, 숫자, 특수문자 필수)
const passwordValidation = validatePassword(newPassword);
if (!passwordValidation.valid) {
return res.status(400).json({
success: false,
error: '비밀번호는 최소 6자 이상이어야 합니다.'
error: '비밀번호가 보안 요구사항을 충족하지 않습니다.',
details: passwordValidation.errors,
code: 'WEAK_PASSWORD'
});
}
connection = await mysql.createConnection(dbConfig);
// 대상 사용자 확인
const [users] = await connection.execute(
'SELECT username, name FROM Users WHERE user_id = ?',

14
api.hyungi.net/routes/notificationRoutes.js
View File

@@ -2,8 +2,12 @@
const express = require('express');
const router = express.Router();
const notificationController = require('../controllers/notificationController');
const { requireAuth, requireMinLevel } = require('../middlewares/auth');
// 읽지 않은 알림 조회
// 모든 알림 라우트는 인증 필요
router.use(requireAuth);
// 읽지 않은 알림 조회 (본인 알림만)
router.get('/unread', notificationController.getUnread);
// 읽지 않은 알림 개수
@@ -13,15 +17,15 @@ router.get('/unread/count', notificationController.getUnreadCount);
router.get('/', notificationController.getAll);
// 알림 생성 (시스템/관리자용)
router.post('/', notificationController.create);
router.post('/', requireMinLevel('support_team'), notificationController.create);
// 모든 알림 읽음 처리
// 모든 알림 읽음 처리 (본인 알림만)
router.post('/read-all', notificationController.markAllAsRead);
// 특정 알림 읽음 처리
// 특정 알림 읽음 처리 (본인 알림만)
router.post('/:id/read', notificationController.markAsRead);
// 알림 삭제
// 알림 삭제 (본인 알림만)
router.delete('/:id', notificationController.delete);
module.exports = router;

25
api.hyungi.net/routes/projectRoutes.js
View File

@@ -2,23 +2,18 @@
const express = require('express');
const router = express.Router();
const projectController = require('../controllers/projectController');
const { requireAuth, requireMinLevel } = require('../middlewares/auth');
// CREATE
router.post('/', projectController.createProject);
// READ - 인증된 사용자
router.get('/', requireAuth, projectController.getAllProjects);
router.get('/active/list', requireAuth, projectController.getActiveProjects);
router.get('/:project_id', requireAuth, projectController.getProjectById);
// READ ALL
router.get('/', projectController.getAllProjects);
// CREATE/UPDATE - support_team 이상 권한 필요
router.post('/', requireAuth, requireMinLevel('support_team'), projectController.createProject);
router.put('/:project_id', requireAuth, requireMinLevel('support_team'), projectController.updateProject);
// READ ACTIVE ONLY (작업보고서용)
router.get('/active/list', projectController.getActiveProjects);
// READ ONE
router.get('/:project_id', projectController.getProjectById);
// UPDATE
router.put('/:project_id', projectController.updateProject);
// DELETE
router.delete('/:project_id', projectController.removeProject);
// DELETE - admin 이상 권한 필요
router.delete('/:project_id', requireAuth, requireMinLevel('admin'), projectController.removeProject);
module.exports = router;

14
api.hyungi.net/routes/toolsRoute.js
View File

@@ -2,11 +2,15 @@
const express = require('express');
const router = express.Router();
const controller = require('../controllers/toolsController');
const { requireAuth, requireMinLevel } = require('../middlewares/auth');
router.get('/', controller.getAll);
router.get('/:id', controller.getById);
router.post('/', controller.create);
router.put('/:id', controller.update);
router.delete('/:id', controller.delete);
// 읽기 작업: 인증된 사용자
router.get('/', requireAuth, controller.getAll);
router.get('/:id', requireAuth, controller.getById);
// 쓰기 작업: group_leader 이상 권한 필요
router.post('/', requireAuth, requireMinLevel('group_leader'), controller.create);
router.put('/:id', requireAuth, requireMinLevel('group_leader'), controller.update);
router.delete('/:id', requireAuth, requireMinLevel('admin'), controller.delete);
module.exports = router;

33
api.hyungi.net/routes/uploadBgRoutes.js
View File

@@ -1,8 +1,10 @@
// ✅ routes/uploadBgRoutes.js (신규: 배경 이미지 전용 업로드 라우터)
// ✅ routes/uploadBgRoutes.js (배경 이미지 전용 업로드 라우터 - 보안 강화)
const express = require('express');
const router = express.Router();
const multer = require('multer');
const path = require('path');
const { requireAuth, requireMinLevel } = require('../middlewares/auth');
const { createFileFilter, validateUploadedFile } = require('../utils/fileUploadSecurity');
const storage = multer.diskStorage({
destination: (req, file, cb) => {
@@ -13,12 +15,37 @@ const storage = multer.diskStorage({
}
});
const upload = multer({ storage });
// 보안 강화된 파일 필터 (이미지만 허용)
const imageFileFilter = createFileFilter({
allowedExtensions: ['.jpg', '.jpeg', '.png', '.gif', '.webp'],
allowedMimes: ['image/jpeg', 'image/png', 'image/gif', 'image/webp']
});
router.post('/upload-bg', upload.single('image'), (req, res) => {
const upload = multer({
storage,
fileFilter: imageFileFilter,
limits: {
fileSize: 10 * 1024 * 1024, // 10MB 제한 (배경 이미지는 크기가 클 수 있음)
files: 1
}
});
// 관리자 권한 필요
router.post('/upload-bg', requireAuth, requireMinLevel('admin'), upload.single('image'), async (req, res) => {
if (!req.file) {
return res.status(400).json({ success: false, message: '파일이 없습니다.' });
}
// 업로드된 파일의 실제 내용 검증 (Magic number)
const validation = await validateUploadedFile(req.file.path, req.file.mimetype);
if (!validation.valid) {
return res.status(400).json({
success: false,
message: validation.message,
code: 'INVALID_FILE_TYPE'
});
}
res.json({ success: true, path: '/img/login-bg.jpeg' });
});

34
api.hyungi.net/routes/workplaceRoutes.js
View File

@@ -4,31 +4,37 @@ const router = express.Router();
const multer = require('multer');
const path = require('path');
const workplaceController = require('../controllers/workplaceController');
const {
generateSafeFilename,
createFileFilter,
ALLOWED_IMAGE_EXTENSIONS
} = require('../utils/fileUploadSecurity');
// Multer 설정 - 작업장 레이아웃 이미지 업로드
// Multer 설정 - 작업장 레이아웃 이미지 업로드 (보안 강화)
const storage = multer.diskStorage({
destination: (req, file, cb) => {
cb(null, path.join(__dirname, '../uploads'));
},
filename: (req, file, cb) => {
const uniqueSuffix = Date.now() + '-' + Math.round(Math.random() * 1E9);
cb(null, 'workplace-layout-' + uniqueSuffix + path.extname(file.originalname));
// 안전한 랜덤 파일명 생성 (원본 파일명 노출 방지)
const safeName = generateSafeFilename(file.originalname);
cb(null, `workplace-layout-${safeName}`);
}
});
// 보안 강화된 파일 필터
const imageFileFilter = createFileFilter({
allowedExtensions: ALLOWED_IMAGE_EXTENSIONS,
allowedMimes: ['image/jpeg', 'image/png', 'image/gif', 'image/webp']
});
const upload = multer({
storage,
fileFilter: (req, file, cb) => {
const allowedTypes = /jpeg|jpg|png|gif/;
const extname = allowedTypes.test(path.extname(file.originalname).toLowerCase());
const mimetype = allowedTypes.test(file.mimetype);
if (mimetype && extname) {
return cb(null, true);
} else {
cb(new Error('이미지 파일만 업로드 가능합니다 (jpeg, jpg, png, gif)'));
}
},
limits: { fileSize: 5 * 1024 * 1024 } // 5MB 제한
fileFilter: imageFileFilter,
limits: {
fileSize: 5 * 1024 * 1024, // 5MB 제한
files: 1 // 단일 파일만 허용
}
});
// ==================== 카테고리(공장) 관리 ====================

35
api.hyungi.net/services/toolsService.js
View File

@@ -18,12 +18,7 @@ const getAllToolsService = async () => {
logger.info('도구 목록 조회 요청');
try {
const rows = await new Promise((resolve, reject) => {
toolsModel.getAll((err, data) => {
if (err) reject(err);
else resolve(data);
});
});
const rows = await toolsModel.getAll();
logger.info('도구 목록 조회 성공', { count: rows.length });
@@ -46,12 +41,7 @@ const getToolByIdService = async (id) => {
logger.info('도구 조회 요청', { tool_id: id });
try {
const row = await new Promise((resolve, reject) => {
toolsModel.getById(id, (err, data) => {
if (err) reject(err);
else resolve(data);
});
});
const row = await toolsModel.getById(id);
if (!row) {
logger.warn('도구를 찾을 수 없음', { tool_id: id });
@@ -88,12 +78,7 @@ const createToolService = async (toolData) => {
logger.info('도구 생성 요청', { name, location, stock, status });
try {
const insertId = await new Promise((resolve, reject) => {
toolsModel.create(toolData, (err, id) => {
if (err) reject(err);
else resolve(id);
});
});
const insertId = await toolsModel.create(toolData);
logger.info('도구 생성 성공', { tool_id: insertId, name });
@@ -119,12 +104,7 @@ const updateToolService = async (id, toolData) => {
logger.info('도구 수정 요청', { tool_id: id, updates: toolData });
try {
const affectedRows = await new Promise((resolve, reject) => {
toolsModel.update(id, toolData, (err, rows) => {
if (err) reject(err);
else resolve(rows);
});
});
const affectedRows = await toolsModel.update(id, toolData);
if (affectedRows === 0) {
logger.warn('도구를 찾을 수 없거나 변경사항 없음', { tool_id: id });
@@ -159,12 +139,7 @@ const deleteToolService = async (id) => {
logger.info('도구 삭제 요청', { tool_id: id });
try {
const affectedRows = await new Promise((resolve, reject) => {
toolsModel.remove(id, (err, rows) => {
if (err) reject(err);
else resolve(rows);
});
});
const affectedRows = await toolsModel.remove(id);
if (affectedRows === 0) {
logger.warn('도구를 찾을 수 없음', { tool_id: id });

315
api.hyungi.net/utils/fileUploadSecurity.js Normal file
View File

@@ -0,0 +1,315 @@
/**
* File Upload Security - 파일 업로드 보안 유틸리티
*
* - Magic number (파일 시그니처) 검증
* - 파일명 sanitize
* - 확장자 화이트리스트 검증
* - 파일 크기 제한
*
* @author TK-FB-Project
* @since 2026-02-04
*/
const path = require('path');
const crypto = require('crypto');
const fs = require('fs').promises;
/**
* 파일 시그니처 (Magic Numbers)
* 파일의 실제 타입을 확인하기 위한 바이너리 시그니처
*/
const FILE_SIGNATURES = {
// 이미지
'ffd8ff': { mime: 'image/jpeg', ext: ['.jpg', '.jpeg'] },
'89504e47': { mime: 'image/png', ext: ['.png'] },
'47494638': { mime: 'image/gif', ext: ['.gif'] },
'52494646': { mime: 'image/webp', ext: ['.webp'] }, // RIFF (WebP 시작)
// 문서
'25504446': { mime: 'application/pdf', ext: ['.pdf'] },
'504b0304': { mime: 'application/zip', ext: ['.zip', '.xlsx', '.docx', '.pptx'] },
// 주의: BMP, TIFF 등 추가 가능
};
/**
* 허용된 이미지 확장자
*/
const ALLOWED_IMAGE_EXTENSIONS = ['.jpg', '.jpeg', '.png', '.gif', '.webp'];
/**
* 허용된 문서 확장자
*/
const ALLOWED_DOCUMENT_EXTENSIONS = ['.pdf', '.xlsx', '.docx', '.pptx', '.zip'];
/**
* 위험한 확장자 (절대 허용 안 함)
*/
const DANGEROUS_EXTENSIONS = [
'.exe', '.bat', '.cmd', '.sh', '.ps1', '.vbs', '.js', '.jar',
'.php', '.asp', '.aspx', '.jsp', '.cgi', '.pl', '.py', '.rb',
'.htaccess', '.htpasswd', '.ini', '.config', '.env'
];
/**
* 파일 시그니처(Magic Number) 검증
*
* @param {Buffer} buffer - 파일 버퍼 (최소 8바이트)
* @returns {Object|null} 매칭된 파일 정보 또는 null
*/
const checkMagicNumber = (buffer) => {
if (!buffer || buffer.length < 4) {
return null;
}
// 처음 8바이트를 hex로 변환
const hex = buffer.slice(0, 8).toString('hex').toLowerCase();
// 시그니처 매칭
for (const [signature, info] of Object.entries(FILE_SIGNATURES)) {
if (hex.startsWith(signature)) {
return info;
}
}
return null;
};
/**
* 파일 버퍼에서 실제 MIME 타입 검증
*
* @param {Buffer} buffer - 파일 버퍼
* @param {string} declaredMime - 선언된 MIME 타입
* @returns {Object} { valid: boolean, actualType: string|null, message: string }
*/
const validateFileType = (buffer, declaredMime) => {
const detected = checkMagicNumber(buffer);
if (!detected) {
return {
valid: false,
actualType: null,
message: '알 수 없는 파일 형식입니다.'
};
}
// MIME 타입이 일치하는지 확인
if (detected.mime !== declaredMime) {
return {
valid: false,
actualType: detected.mime,
message: `파일 형식이 일치하지 않습니다. (선언: ${declaredMime}, 실제: ${detected.mime})`
};
}
return {
valid: true,
actualType: detected.mime,
message: 'OK'
};
};
/**
* 파일명 sanitize
* 경로 조작 및 특수문자 제거
*
* @param {string} filename - 원본 파일명
* @returns {string} 안전한 파일명
*/
const sanitizeFilename = (filename) => {
if (!filename || typeof filename !== 'string') {
return 'unnamed';
}
// 경로 구분자 제거 (path traversal 방지)
let safe = path.basename(filename);
// 특수문자 제거 (영문, 숫자, -, _, . 만 허용)
safe = safe.replace(/[^a-zA-Z0-9가-힣._-]/g, '_');
// 연속된 점 제거 (이중 확장자 방지)
safe = safe.replace(/\.{2,}/g, '.');
// 앞뒤 점/공백 제거
safe = safe.replace(/^[\s.]+|[\s.]+$/g, '');
// 빈 파일명 처리
if (!safe || safe === '') {
safe = 'unnamed';
}
// 최대 길이 제한 (255자)
if (safe.length > 255) {
const ext = path.extname(safe);
const name = path.basename(safe, ext);
safe = name.slice(0, 255 - ext.length) + ext;
}
return safe;
};
/**
* 확장자 검증
*
* @param {string} filename - 파일명
* @param {string[]} allowedExtensions - 허용된 확장자 배열
* @returns {Object} { valid: boolean, extension: string, message: string }
*/
const validateExtension = (filename, allowedExtensions = ALLOWED_IMAGE_EXTENSIONS) => {
const ext = path.extname(filename).toLowerCase();
// 위험한 확장자 체크
if (DANGEROUS_EXTENSIONS.includes(ext)) {
return {
valid: false,
extension: ext,
message: `보안상 허용되지 않는 파일 형식입니다: ${ext}`
};
}
// 허용된 확장자 체크
if (!allowedExtensions.includes(ext)) {
return {
valid: false,
extension: ext,
message: `허용된 파일 형식: ${allowedExtensions.join(', ')}`
};
}
return {
valid: true,
extension: ext,
message: 'OK'
};
};
/**
* 안전한 랜덤 파일명 생성
*
* @param {string} originalFilename - 원본 파일명 (확장자 추출용)
* @returns {string} 랜덤 파일명
*/
const generateSafeFilename = (originalFilename) => {
const ext = path.extname(originalFilename).toLowerCase();
const randomName = crypto.randomBytes(16).toString('hex');
const timestamp = Date.now();
return `${timestamp}_${randomName}${ext}`;
};
/**
* 안전한 업로드 경로 생성
* 경로 조작(path traversal) 방지
*
* @param {string} baseDir - 기본 업로드 디렉토리
* @param {string} filename - 파일명
* @returns {string} 안전한 전체 경로
*/
const getSafeUploadPath = (baseDir, filename) => {
const safeName = sanitizeFilename(filename);
const fullPath = path.join(baseDir, safeName);
// 결과 경로가 baseDir 안에 있는지 확인
const resolvedBase = path.resolve(baseDir);
const resolvedFull = path.resolve(fullPath);
if (!resolvedFull.startsWith(resolvedBase)) {
throw new Error('경로 조작이 감지되었습니다.');
}
return resolvedFull;
};
/**
* Multer 파일 필터 생성
*
* @param {Object} options - 옵션
* @param {string[]} options.allowedExtensions - 허용된 확장자
* @param {string[]} options.allowedMimes - 허용된 MIME 타입
* @param {boolean} options.checkMagicNumber - Magic number 검증 여부
* @returns {Function} Multer fileFilter 함수
*/
const createFileFilter = (options = {}) => {
const {
allowedExtensions = ALLOWED_IMAGE_EXTENSIONS,
allowedMimes = ['image/jpeg', 'image/png', 'image/gif', 'image/webp'],
checkMagicNumber = false // Multer에서는 버퍼 접근이 제한적이므로 기본 false
} = options;
return (req, file, cb) => {
// 확장자 검증
const extResult = validateExtension(file.originalname, allowedExtensions);
if (!extResult.valid) {
return cb(new Error(extResult.message), false);
}
// MIME 타입 검증
if (!allowedMimes.includes(file.mimetype)) {
return cb(new Error(`허용된 MIME 타입: ${allowedMimes.join(', ')}`), false);
}
cb(null, true);
};
};
/**
* 업로드된 파일 검증 (후처리용)
* Multer 업로드 후 파일 내용을 검증
*
* @param {string} filePath - 업로드된 파일 경로
* @param {string} declaredMime - 선언된 MIME 타입
* @returns {Promise<Object>} 검증 결과
*/
const validateUploadedFile = async (filePath, declaredMime) => {
try {
// 파일 시작 부분 읽기
const fd = await fs.open(filePath, 'r');
const buffer = Buffer.alloc(8);
await fd.read(buffer, 0, 8, 0);
await fd.close();
// Magic number 검증
const typeResult = validateFileType(buffer, declaredMime);
if (!typeResult.valid) {
// 위험한 파일이면 삭제
await fs.unlink(filePath);
return {
valid: false,
deleted: true,
message: typeResult.message
};
}
return {
valid: true,
deleted: false,
message: 'OK',
actualType: typeResult.actualType
};
} catch (error) {
return {
valid: false,
deleted: false,
message: `파일 검증 중 오류: ${error.message}`
};
}
};
module.exports = {
// 상수
ALLOWED_IMAGE_EXTENSIONS,
ALLOWED_DOCUMENT_EXTENSIONS,
DANGEROUS_EXTENSIONS,
FILE_SIGNATURES,
// 함수
checkMagicNumber,
validateFileType,
sanitizeFilename,
validateExtension,
generateSafeFilename,
getSafeUploadPath,
createFileFilter,
validateUploadedFile
};

173
api.hyungi.net/utils/passwordValidator.js Normal file
View File

@@ -0,0 +1,173 @@
/**
* Password Validator - 비밀번호 정책 검증
*
* 강력한 비밀번호 정책:
* - 최소 12자 이상
* - 대문자 포함
* - 소문자 포함
* - 숫자 포함
* - 특수문자 포함
*
* @author TK-FB-Project
* @since 2026-02-04
*/
/**
* 비밀번호 강도 검증
*
* @param {string} password - 검증할 비밀번호
* @param {Object} options - 옵션 (기본값 사용 권장)
* @returns {Object} { valid: boolean, errors: string[], strength: string }
*/
const validatePassword = (password, options = {}) => {
const config = {
minLength: options.minLength || 12,
requireUppercase: options.requireUppercase !== false,
requireLowercase: options.requireLowercase !== false,
requireNumbers: options.requireNumbers !== false,
requireSpecialChars: options.requireSpecialChars !== false,
maxLength: options.maxLength || 128
};
const errors = [];
let strength = 0;
// 필수 검증
if (!password || typeof password !== 'string') {
return {
valid: false,
errors: ['비밀번호를 입력해주세요.'],
strength: 'invalid'
};
}
// 길이 검증
if (password.length < config.minLength) {
errors.push(`비밀번호는 최소 ${config.minLength}자 이상이어야 합니다.`);
} else {
strength += 1;
}
if (password.length > config.maxLength) {
errors.push(`비밀번호는 ${config.maxLength}자를 초과할 수 없습니다.`);
}
// 대문자 검증
if (config.requireUppercase && !/[A-Z]/.test(password)) {
errors.push('대문자를 1개 이상 포함해야 합니다.');
} else if (/[A-Z]/.test(password)) {
strength += 1;
}
// 소문자 검증
if (config.requireLowercase && !/[a-z]/.test(password)) {
errors.push('소문자를 1개 이상 포함해야 합니다.');
} else if (/[a-z]/.test(password)) {
strength += 1;
}
// 숫자 검증
if (config.requireNumbers && !/\d/.test(password)) {
errors.push('숫자를 1개 이상 포함해야 합니다.');
} else if (/\d/.test(password)) {
strength += 1;
}
// 특수문자 검증
const specialChars = /[!@#$%^&*()_+\-=\[\]{};':"\\|,.<>\/?]/;
if (config.requireSpecialChars && !specialChars.test(password)) {
errors.push('특수문자를 1개 이상 포함해야 합니다. (!@#$%^&*()_+-=[]{};\':"|,.<>/?)');
} else if (specialChars.test(password)) {
strength += 1;
}
// 공백 검증
if (/\s/.test(password)) {
errors.push('비밀번호에 공백을 포함할 수 없습니다.');
}
// 연속된 문자 검증 (선택적)
if (/(.)\1{2,}/.test(password)) {
errors.push('동일한 문자를 3회 이상 연속 사용할 수 없습니다.');
}
// 강도 계산
let strengthLabel;
if (strength <= 2) {
strengthLabel = 'weak';
} else if (strength <= 3) {
strengthLabel = 'medium';
} else if (strength <= 4) {
strengthLabel = 'strong';
} else {
strengthLabel = 'very_strong';
}
return {
valid: errors.length === 0,
errors,
strength: strengthLabel,
score: strength
};
};
/**
* 간단한 비밀번호 검증 (기존 호환용)
* 모든 조건을 만족하면 true, 아니면 false
*
* @param {string} password - 검증할 비밀번호
* @returns {boolean} 유효 여부
*/
const isValidPassword = (password) => {
return validatePassword(password).valid;
};
/**
* 비밀번호 검증 결과를 한국어 메시지로 반환
*
* @param {string} password - 검증할 비밀번호
* @returns {string|null} 오류 메시지 (유효하면 null)
*/
const getPasswordError = (password) => {
const result = validatePassword(password);
if (result.valid) {
return null;
}
return result.errors.join(' ');
};
/**
* Express 미들웨어: 요청 body의 password 또는 newPassword 필드 검증
*
* @param {string} fieldName - 검증할 필드명 (기본: 'password')
* @returns {Function} Express 미들웨어
*/
const validatePasswordMiddleware = (fieldName = 'password') => {
return (req, res, next) => {
const password = req.body[fieldName] || req.body.newPassword;
if (!password) {
return next(); // 비밀번호 필드가 없으면 다음 미들웨어로
}
const result = validatePassword(password);
if (!result.valid) {
return res.status(400).json({
success: false,
error: '비밀번호가 보안 요구사항을 충족하지 않습니다.',
details: result.errors,
code: 'WEAK_PASSWORD'
});
}
next();
};
};
module.exports = {
validatePassword,
isValidPassword,
getPasswordError,
validatePasswordMiddleware
};

70
api.hyungi.net/utils/queryOptimizer.js
View File

@@ -2,6 +2,41 @@
const { getDb } = require('../dbPool');
/**
* SQL Injection 방지를 위한 화이트리스트 검증
*/
const ALLOWED_ORDER_DIRECTIONS = ['ASC', 'DESC'];
const ALLOWED_TABLE_NAME_PATTERN = /^[a-zA-Z_][a-zA-Z0-9_]*$/;
const ALLOWED_COLUMN_NAME_PATTERN = /^[a-zA-Z_][a-zA-Z0-9_.]*$/;
const validateOrderDirection = (direction) => {
const normalized = (direction || 'DESC').toUpperCase();
if (!ALLOWED_ORDER_DIRECTIONS.includes(normalized)) {
throw new Error(`Invalid order direction: ${direction}`);
}
return normalized;
};
const validateIdentifier = (identifier, type = 'column') => {
if (!identifier || typeof identifier !== 'string') {
throw new Error(`Invalid ${type} name`);
}
if (!ALLOWED_COLUMN_NAME_PATTERN.test(identifier)) {
throw new Error(`Invalid ${type} name: ${identifier}`);
}
return identifier;
};
const validateTableName = (tableName) => {
if (!tableName || typeof tableName !== 'string') {
throw new Error('Invalid table name');
}
if (!ALLOWED_TABLE_NAME_PATTERN.test(tableName)) {
throw new Error(`Invalid table name: ${tableName}`);
}
return tableName;
};
/**
* 페이지네이션 헬퍼
*/
@@ -24,6 +59,10 @@ const executePagedQuery = async (baseQuery, countQuery, params = [], options = {
const { page = 1, limit = 10, orderBy = 'id', orderDirection = 'DESC' } = options;
const { limit: limitNum, offset, page: pageNum } = paginate(page, limit);
// SQL Injection 방지: 컬럼명과 정렬방향 검증
const safeOrderBy = validateIdentifier(orderBy, 'column');
const safeOrderDirection = validateOrderDirection(orderDirection);
try {
const db = await getDb();
@@ -31,8 +70,8 @@ const executePagedQuery = async (baseQuery, countQuery, params = [], options = {
const [countResult] = await db.execute(countQuery, params);
const totalCount = countResult[0]?.total || 0;
// 데이터 조회 (ORDER BY와 LIMIT 추가)
const pagedQuery = `${baseQuery} ORDER BY ${orderBy} ${orderDirection} LIMIT ${limitNum} OFFSET ${offset}`;
// 데이터 조회 (ORDER BY와 LIMIT 추가) - 검증된 값만 사용
const pagedQuery = `${baseQuery} ORDER BY ${safeOrderBy} ${safeOrderDirection} LIMIT ${limitNum} OFFSET ${offset}`;
const [rows] = await db.execute(pagedQuery, params);
// 페이지네이션 메타데이터 계산
@@ -59,14 +98,17 @@ const executePagedQuery = async (baseQuery, countQuery, params = [], options = {
* 인덱스 최적화 제안
*/
const suggestIndexes = async (tableName) => {
// SQL Injection 방지: 테이블명 검증
const safeTableName = validateTableName(tableName);
try {
const db = await getDb();
// 현재 인덱스 조회
const [indexes] = await db.execute(`SHOW INDEX FROM ${tableName}`);
// 현재 인덱스 조회 - 검증된 테이블명 사용
const [indexes] = await db.execute(`SHOW INDEX FROM \`${safeTableName}\``);
// 테이블 구조 조회
const [columns] = await db.execute(`DESCRIBE ${tableName}`);
// 테이블 구조 조회 - 검증된 테이블명 사용
const [columns] = await db.execute(`DESCRIBE \`${safeTableName}\``);
const suggestions = [];
@@ -80,7 +122,7 @@ const suggestIndexes = async (tableName) => {
type: 'INDEX',
column: col.Field,
reason: '외래키 컬럼에 인덱스 추가로 JOIN 성능 향상',
sql: `CREATE INDEX idx_${tableName}_${col.Field} ON ${tableName}(${col.Field});`
sql: `CREATE INDEX idx_${safeTableName}_${col.Field} ON \`${safeTableName}\`(\`${col.Field}\`);`
});
});
@@ -95,12 +137,12 @@ const suggestIndexes = async (tableName) => {
type: 'INDEX',
column: col.Field,
reason: '날짜 범위 검색 성능 향상',
sql: `CREATE INDEX idx_${tableName}_${col.Field} ON ${tableName}(${col.Field});`
sql: `CREATE INDEX idx_${safeTableName}_${col.Field} ON \`${safeTableName}\`(\`${col.Field}\`);`
});
});
return {
tableName,
tableName: safeTableName,
currentIndexes: indexes.map(idx => ({
name: idx.Key_name,
column: idx.Column_name,
@@ -179,6 +221,9 @@ const batchInsert = async (tableName, data, batchSize = 100) => {
throw new Error('삽입할 데이터가 없습니다.');
}
// SQL Injection 방지: 테이블명 검증
const safeTableName = validateTableName(tableName);
try {
const db = await getDb();
const connection = await db.getConnection();
@@ -186,8 +231,11 @@ const batchInsert = async (tableName, data, batchSize = 100) => {
await connection.beginTransaction();
const columns = Object.keys(data[0]);
const placeholders = columns.map(() => '?').join(', ');
const insertQuery = `INSERT INTO ${tableName} (${columns.join(', ')}) VALUES (${placeholders})`;
// 컬럼명도 검증
const safeColumns = columns.map(col => validateIdentifier(col, 'column'));
const placeholders = safeColumns.map(() => '?').join(', ');
const columnList = safeColumns.map(col => `\`${col}\``).join(', ');
const insertQuery = `INSERT INTO \`${safeTableName}\` (${columnList}) VALUES (${placeholders})`;
let insertedCount = 0;