fix: 보안 취약점 수정 및 XSS 방지 적용

## 백엔드 보안 수정
- 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거
- SQL Injection 방지를 위한 화이트리스트 검증 추가
- 인증 미적용 API 라우트에 requireAuth 미들웨어 적용
- CSRF 보호 미들웨어 구현 (csrf.js)
- 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js)
- 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js)

## 프론트엔드 XSS 방지
- api-base.js에 전역 escapeHtml() 함수 추가
- 17개 주요 JS 파일에 escapeHtml 적용:
  - tbm.js, daily-patrol.js, daily-work-report.js
  - task-management.js, workplace-status.js
  - equipment-detail.js, equipment-management.js
  - issue-detail.js, issue-report.js
  - vacation-common.js, worker-management.js
  - safety-report-list.js, nonconformity-list.js
  - project-management.js, workplace-management.js

## 정리
- 백업 폴더 및 빈 파일 삭제
- SECURITY_GUIDE.md 문서 추가

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

web-ui/js/api-base.js

@@ -1,9 +1,48 @@
 // /js/api-base.js
-// API 기본 설정 (비모듈 - 빠른 로딩용)
+// API 기본 설정 및 보안 유틸리티 (비모듈 - 빠른 로딩용)
 
 (function() {
   'use strict';
 
+  // ==================== 보안 유틸리티 (XSS 방지) ====================
+
+  /**
+   * HTML 특수문자 이스케이프 (XSS 방지)
+   * innerHTML에 사용자 입력/API 데이터를 삽입할 때 반드시 사용
+   *
+   * @param {string} str - 이스케이프할 문자열
+   * @returns {string} 이스케이프된 문자열
+   */
+  window.escapeHtml = function(str) {
+    if (str === null || str === undefined) return '';
+    if (typeof str !== 'string') str = String(str);
+
+    const htmlEntities = {
+      '&': '&',
+      '<': '&lt;',
+      '>': '&gt;',
+      '"': '&quot;',
+      "'": '&#39;',
+      '/': '&#x2F;',
+      '`': '&#x60;',
+      '=': '&#x3D;'
+    };
+
+    return str.replace(/[&<>"'`=\/]/g, function(char) {
+      return htmlEntities[char];
+    });
+  };
+
+  /**
+   * URL 파라미터 이스케이프
+   */
+  window.escapeUrl = function(str) {
+    if (str === null || str === undefined) return '';
+    return encodeURIComponent(String(str));
+  };
+
+  // ==================== API 설정 ====================
+
   const API_PORT = 20005;
   const API_PATH = '/api';