fix: 보안 취약점 수정 및 XSS 방지 적용

## 백엔드 보안 수정 - 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거 - SQL Injection 방지를 위한 화이트리스트 검증 추가 - 인증 미적용 API 라우트에 requireAuth 미들웨어 적용 - CSRF 보호 미들웨어 구현 (csrf.js) - 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js) - 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js) ## 프론트엔드 XSS 방지 - api-base.js에 전역 escapeHtml() 함수 추가 - 17개 주요 JS 파일에 escapeHtml 적용: - tbm.js, daily-patrol.js, daily-work-report.js - task-management.js, workplace-status.js - equipment-detail.js, equipment-management.js - issue-detail.js, issue-report.js - vacation-common.js, worker-management.js - safety-report-list.js, nonconformity-list.js - project-management.js, workplace-management.js ## 정리 - 백업 폴더 및 빈 파일 삭제 - SECURITY_GUIDE.md 문서 추가 Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
2026-02-05 06:33:10 +09:00
parent 7c38c555f5
commit 36f110c90a
97 changed files with 2523 additions and 24267 deletions
--- a/api.hyungi.net/services/toolsService.js
+++ b/api.hyungi.net/services/toolsService.js
@@ -18,12 +18,7 @@ const getAllToolsService = async () => {
  logger.info('도구 목록 조회 요청');

  try {
-    const rows = await new Promise((resolve, reject) => {
-      toolsModel.getAll((err, data) => {
-        if (err) reject(err);
-        else resolve(data);
-      });
-    });
+    const rows = await toolsModel.getAll();

    logger.info('도구 목록 조회 성공', { count: rows.length });

@@ -46,12 +41,7 @@ const getToolByIdService = async (id) => {
  logger.info('도구 조회 요청', { tool_id: id });

  try {
-    const row = await new Promise((resolve, reject) => {
-      toolsModel.getById(id, (err, data) => {
-        if (err) reject(err);
-        else resolve(data);
-      });
-    });
+    const row = await toolsModel.getById(id);

    if (!row) {
      logger.warn('도구를 찾을 수 없음', { tool_id: id });
@@ -88,12 +78,7 @@ const createToolService = async (toolData) => {
  logger.info('도구 생성 요청', { name, location, stock, status });

  try {
-    const insertId = await new Promise((resolve, reject) => {
-      toolsModel.create(toolData, (err, id) => {
-        if (err) reject(err);
-        else resolve(id);
-      });
-    });
+    const insertId = await toolsModel.create(toolData);

    logger.info('도구 생성 성공', { tool_id: insertId, name });

@@ -119,12 +104,7 @@ const updateToolService = async (id, toolData) => {
  logger.info('도구 수정 요청', { tool_id: id, updates: toolData });

  try {
-    const affectedRows = await new Promise((resolve, reject) => {
-      toolsModel.update(id, toolData, (err, rows) => {
-        if (err) reject(err);
-        else resolve(rows);
-      });
-    });
+    const affectedRows = await toolsModel.update(id, toolData);

    if (affectedRows === 0) {
      logger.warn('도구를 찾을 수 없거나 변경사항 없음', { tool_id: id });
@@ -159,12 +139,7 @@ const deleteToolService = async (id) => {
  logger.info('도구 삭제 요청', { tool_id: id });

  try {
-    const affectedRows = await new Promise((resolve, reject) => {
-      toolsModel.remove(id, (err, rows) => {
-        if (err) reject(err);
-        else resolve(rows);
-      });
-    });
+    const affectedRows = await toolsModel.remove(id);

    if (affectedRows === 0) {
      logger.warn('도구를 찾을 수 없음', { tool_id: id });