Secure Coding시큐어 코딩

# 취약한 코드
def bad_login(username, password):
    query = f"SELECT * FROM users WHERE username='{username}' AND password='{password}'"
    # username = "admin' --" 입력 시 인증 우회!

# 안전한 코드 (파라미터화된 쿼리)
def safe_login(username, password):
    query = "SELECT * FROM users WHERE username=? AND password=?"
    cursor.execute(query, (username, password))
    # 사용자 입력이 SQL 문법으로 해석되지 않음

# ORM 사용
def orm_login(username, password):
    user = User.query.filter_by(username=username).first()
    return user and user.check_password(password)

// 취약한 코드
element.innerHTML = userInput;  // XSS 가능!

// 안전한 코드
element.textContent = userInput;  // HTML 이스케이프 자동 처리

// React는 기본적으로 XSS 방어
const SafeComponent = ({ userInput }) => (
  <div>{userInput}</div>  // 자동 이스케이프
);

// DOMPurify로 HTML 정화 (리치 텍스트 허용 시)
import DOMPurify from 'dompurify';
element.innerHTML = DOMPurify.sanitize(userInput);

import re
from functools import wraps

def validate_input(schema):
    """입력 검증 데코레이터"""
    def decorator(func):
        @wraps(func)
        def wrapper(*args, **kwargs):
            for field, rules in schema.items():
                value = kwargs.get(field)
                if rules.get('required') and not value:
                    raise ValueError(f"{field} is required")
                if value and 'pattern' in rules:
                    if not re.match(rules['pattern'], value):
                        raise ValueError(f"Invalid {field} format")
                if value and 'max_length' in rules:
                    if len(value) > rules['max_length']:
                        raise ValueError(f"{field} too long")
            return func(*args, **kwargs)
        return wrapper
    return decorator

@validate_input({'username': {'required': True, 'pattern': r'^[a-zA-Z0-9_]{3,20}$'}})
def create_user(username, email):
    pass