ERP-node/frontend/lib/report/queryUtils.ts

/**
 * queryUtils.ts
 *
 * SQL 쿼리 관련 순수 유틸 함수 모음.
 *
 * [사용처]
 * - QueryManager.tsx : 쿼리 탭에서 안전성 검증 + 파라미터 자동 감지
 * - modals/QuerySettingsTab.tsx : 인캔버스 설정 모달의 데이터 연결 탭
 *
 * Phase 5-A에서 QueryManager의 인라인 함수를 이곳으로 추출.
 * 두 소비처가 동일 로직을 공유할 수 있도록 단일 소스로 유지한다.
 */

/** SQL 안전성 검증 결과 */
export interface QueryValidationResult {
  isValid: boolean;
  errorMessage: string | null;
}

/**
 * SELECT 전용 SQL 안전성 검증.
 * DML/DDL 키워드를 포함하거나 다중 쿼리를 감지하면 오류를 반환한다.
 */
export const validateQuerySafety = (sql: string): QueryValidationResult => {
  if (!sql || sql.trim() === "") {
    return { isValid: false, errorMessage: "쿼리를 입력해주세요." };
  }

  const dangerousKeywords = [
    "DELETE",
    "DROP",
    "TRUNCATE",
    "INSERT",
    "UPDATE",
    "ALTER",
    "CREATE",
    "REPLACE",
    "MERGE",
    "GRANT",
    "REVOKE",
    "EXECUTE",
    "EXEC",
    "CALL",
  ];

  const upperSql = sql.toUpperCase().trim();

  for (const keyword of dangerousKeywords) {
    const regex = new RegExp(`\\b${keyword}\\b`, "i");
    if (regex.test(upperSql)) {
      return {
        isValid: false,
        errorMessage: `보안상의 이유로 ${keyword} 명령어는 사용할 수 없습니다. SELECT 쿼리만 허용됩니다.`,
      };
    }
  }

  if (!upperSql.startsWith("SELECT") && !upperSql.startsWith("WITH")) {
    return {
      isValid: false,
      errorMessage: "SELECT 쿼리만 허용됩니다. 데이터 조회 용도로만 사용할 수 있습니다.",
    };
  }

  const semicolonCount = (sql.match(/;/g) || []).length;
  if (semicolonCount > 1 || (semicolonCount === 1 && !sql.trim().endsWith(";"))) {
    return {
      isValid: false,
      errorMessage: "보안상의 이유로 여러 개의 쿼리를 동시에 실행할 수 없습니다.",
    };
  }

  return { isValid: true, errorMessage: null };
};

/**
 * SQL에서 파라미터 플레이스홀더($1, $2 …) 추출.
 * 문자열 리터럴(단일따옴표) 내부는 제외하며, 등장 순서를 유지한다.
 */
export const detectParameters = (sql: string): string[] => {
  const withoutStrings = sql.replace(/'[^']*'/g, "");
  const matches = withoutStrings.match(/\$\d+/g);
  if (!matches) return [];

  const seen = new Set<string>();
  const result: string[] = [];
  for (const match of matches) {
    if (!seen.has(match)) {
      seen.add(match);
      result.push(match);
    }
  }
  return result;
};
feat: 리포트 디자이너 Phase 1~3 완료 및 리팩토링 - Phase 1: 리포트 관리 페이지(Admin) 고도화 - CRUD, 목록/그리드 뷰 - Phase 2: 내부 리포트 목록 컨텍스트 뷰어 - Phase 3: 화면관리 컴포넌트화 (드래그&드롭) 리팩토링: - ReportDesignerContext 분리: 2049줄 → 484줄 (contexts/report-designer/ 하위 훅 추출) - MM_TO_PX 상수 중복 제거: useClipboardActions/useUIState → lib/report/constants 통일 - generateComponentId 헬퍼 중앙화: lib/report/constants로 단일 소스 관리 - ConditionalRule 타입 중복 제거: conditionalUtils → types/report 단일 정의 - 렌더러/속성/모달 컴포넌트 분리: designer/renderers, properties, modals 디렉토리 Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com> 2026-03-10 18:30:18 +09:00			`/**`
			`* queryUtils.ts`
			`*`
			`* SQL 쿼리 관련 순수 유틸 함수 모음.`
			`*`
			`* [사용처]`
			`* - QueryManager.tsx : 쿼리 탭에서 안전성 검증 + 파라미터 자동 감지`
			`* - modals/QuerySettingsTab.tsx : 인캔버스 설정 모달의 데이터 연결 탭`
			`*`
			`* Phase 5-A에서 QueryManager의 인라인 함수를 이곳으로 추출.`
			`* 두 소비처가 동일 로직을 공유할 수 있도록 단일 소스로 유지한다.`
			`*/`

			`/** SQL 안전성 검증 결과 */`
			`export interface QueryValidationResult {`
			`isValid: boolean;`
			`errorMessage: string \| null;`
			`}`

			`/**`
			`* SELECT 전용 SQL 안전성 검증.`
			`* DML/DDL 키워드를 포함하거나 다중 쿼리를 감지하면 오류를 반환한다.`
			`*/`
			`export const validateQuerySafety = (sql: string): QueryValidationResult => {`
			`if (!sql \|\| sql.trim() === "") {`
			`return { isValid: false, errorMessage: "쿼리를 입력해주세요." };`
			`}`

			`const dangerousKeywords = [`
			`"DELETE",`
			`"DROP",`
			`"TRUNCATE",`
			`"INSERT",`
			`"UPDATE",`
			`"ALTER",`
			`"CREATE",`
			`"REPLACE",`
			`"MERGE",`
			`"GRANT",`
			`"REVOKE",`
			`"EXECUTE",`
			`"EXEC",`
			`"CALL",`
			`];`

			`const upperSql = sql.toUpperCase().trim();`

			`for (const keyword of dangerousKeywords) {`
			const regex = new RegExp(`\\b${keyword}\\b`, "i");
			`if (regex.test(upperSql)) {`
			`return {`
			`isValid: false,`
			errorMessage: `보안상의 이유로 ${keyword} 명령어는 사용할 수 없습니다. SELECT 쿼리만 허용됩니다.`,
			`};`
			`}`
			`}`

			`if (!upperSql.startsWith("SELECT") && !upperSql.startsWith("WITH")) {`
			`return {`
			`isValid: false,`
			`errorMessage: "SELECT 쿼리만 허용됩니다. 데이터 조회 용도로만 사용할 수 있습니다.",`
			`};`
			`}`

			`const semicolonCount = (sql.match(/;/g) \|\| []).length;`
			`if (semicolonCount > 1 \|\| (semicolonCount === 1 && !sql.trim().endsWith(";"))) {`
			`return {`
			`isValid: false,`
			`errorMessage: "보안상의 이유로 여러 개의 쿼리를 동시에 실행할 수 없습니다.",`
			`};`
			`}`

			`return { isValid: true, errorMessage: null };`
			`};`

			`/**`
			`* SQL에서 파라미터 플레이스홀더($1, $2 …) 추출.`
			`* 문자열 리터럴(단일따옴표) 내부는 제외하며, 등장 순서를 유지한다.`
			`*/`
			`export const detectParameters = (sql: string): string[] => {`
			`const withoutStrings = sql.replace(/'[^']*'/g, "");`
			`const matches = withoutStrings.match(/\$\d+/g);`
			`if (!matches) return [];`

			`const seen = new Set<string>();`
			`const result: string[] = [];`
			`for (const match of matches) {`
			`if (!seen.has(match)) {`
			`seen.add(match);`
			`result.push(match);`
			`}`
			`}`
			`return result;`
			`};`