# Security

보안 분석 결과와 개선 체크리스트를 보관한다.

## 문서

- [보안 개선 체크리스트](security-remediation-checklist.md)
- [2026-06-16 프로젝트 전면 분석](../analysis/2026-06-16-project-analysis.md)
- [Security hardening DDL](../security-hardening-ddl.sql)

## 원칙

- 상태 변경 요청은 CSRF 검증을 기본값으로 둔다.
- DB 접근은 MyBatis `#{}` 바인딩을 사용하고 `${}` 동적 치환은 금지한다.
- 업로드 파일은 크기, 타입, 경로 boundary를 모두 검증한다.
- 사용자 입력 출력은 JSP에서 escape하거나 클라이언트에서 `textContent`로 렌더링한다.
- 보안 변경은 최소 하나 이상의 회귀 테스트를 함께 추가한다.