fix: 보안 취약점 수정 및 XSS 방지 적용

## 백엔드 보안 수정
- 하드코딩된 비밀번호 및 JWT 시크릿 폴백 제거
- SQL Injection 방지를 위한 화이트리스트 검증 추가
- 인증 미적용 API 라우트에 requireAuth 미들웨어 적용
- CSRF 보호 미들웨어 구현 (csrf.js)
- 파일 업로드 보안 유틸리티 추가 (fileUploadSecurity.js)
- 비밀번호 정책 검증 유틸리티 추가 (passwordValidator.js)

## 프론트엔드 XSS 방지
- api-base.js에 전역 escapeHtml() 함수 추가
- 17개 주요 JS 파일에 escapeHtml 적용:
  - tbm.js, daily-patrol.js, daily-work-report.js
  - task-management.js, workplace-status.js
  - equipment-detail.js, equipment-management.js
  - issue-detail.js, issue-report.js
  - vacation-common.js, worker-management.js
  - safety-report-list.js, nonconformity-list.js
  - project-management.js, workplace-management.js

## 정리
- 백업 폴더 및 빈 파일 삭제
- SECURITY_GUIDE.md 문서 추가

Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>

web-ui/js/issue-report.js

@@ -490,9 +490,12 @@ function showWorkSelectionModal(workers, visitors) {
   workers.forEach(w => {
     const option = document.createElement('div');
     option.className = 'work-option';
+    const safeTaskName = escapeHtml(w.task_name || '작업');
+    const safeProjectName = escapeHtml(w.project_name || '');
+    const memberCount = parseInt(w.member_count) || 0;
     option.innerHTML = `
-      <div class="work-option-title">TBM: ${w.task_name || '작업'}</div>
-      <div class="work-option-desc">${w.project_name || ''} - ${w.member_count || 0}명</div>
+      <div class="work-option-title">TBM: ${safeTaskName}</div>
+      <div class="work-option-desc">${safeProjectName} - ${memberCount}명</div>
     `;
     option.onclick = () => {
       selectedTbmSessionId = w.session_id;
@@ -507,9 +510,12 @@ function showWorkSelectionModal(workers, visitors) {
   visitors.forEach(v => {
     const option = document.createElement('div');
     option.className = 'work-option';
+    const safeCompany = escapeHtml(v.visitor_company || '-');
+    const safePurpose = escapeHtml(v.purpose_name || '방문');
+    const visitorCount = parseInt(v.visitor_count) || 0;
     option.innerHTML = `
-      <div class="work-option-title">출입: ${v.visitor_company}</div>
-      <div class="work-option-desc">${v.purpose_name || '방문'} - ${v.visitor_count || 0}명</div>
+      <div class="work-option-title">출입: ${safeCompany}</div>
+      <div class="work-option-desc">${safePurpose} - ${visitorCount}명</div>
     `;
     option.onclick = () => {
       selectedVisitRequestId = v.request_id;
@@ -540,20 +546,20 @@ function updateLocationInfo() {
 
   if (useCustom && customLocation) {
     infoBox.classList.remove('empty');
-    infoBox.innerHTML = `<strong>선택된 위치:</strong> ${customLocation}`;
+    infoBox.innerHTML = `<strong>선택된 위치:</strong> ${escapeHtml(customLocation)}`;
   } else if (selectedWorkplaceName) {
     infoBox.classList.remove('empty');
-    let html = `<strong>선택된 위치:</strong> ${selectedWorkplaceName}`;
+    let html = `<strong>선택된 위치:</strong> ${escapeHtml(selectedWorkplaceName)}`;
 
     if (selectedTbmSessionId) {
       const worker = todayWorkers.find(w => w.session_id === selectedTbmSessionId);
       if (worker) {
-        html += `<br><span style="color: var(--primary-600);">연결 작업: ${worker.task_name} (TBM)</span>`;
+        html += `<br><span style="color: var(--primary-600);">연결 작업: ${escapeHtml(worker.task_name || '-')} (TBM)</span>`;
       }
     } else if (selectedVisitRequestId) {
       const visitor = todayVisitors.find(v => v.request_id === selectedVisitRequestId);
       if (visitor) {
-        html += `<br><span style="color: var(--primary-600);">연결 작업: ${visitor.visitor_company} (출입)</span>`;
+        html += `<br><span style="color: var(--primary-600);">연결 작업: ${escapeHtml(visitor.visitor_company || '-')} (출입)</span>`;
       }
     }