reltype 0.1.5 → 0.1.7

package/dist/utils/sqlGuard.js

@@ -0,0 +1,94 @@
+"use strict";
+Object.defineProperty(exports, "__esModule", { value: true });
+exports.quoteIdentifier = quoteIdentifier;
+exports.escapeSchemaIdentifier = escapeSchemaIdentifier;
+exports.validateOrderDir = validateOrderDir;
+exports.validateAggregateFn = validateAggregateFn;
+exports.validateJoinType = validateJoinType;
+const logger_1 = require("./logger");
+const logger = logger_1.Logger.fromEnv(process.env, { prefix: '[SqlGuard]' });
+/**
+ * 유효한 SQL 식별자 패턴.
+ * - 단순 식별자: `[a-zA-Z_][a-zA-Z0-9_]*`  예: `first_name`, `userId`
+ * - 점 표기법:   `schema.table`, `table.column`
+ *
+ * 공백, 세미콜론, 따옴표, 괄호 등 SQL 특수문자를 포함하는 경우 거부합니다.
+ */
+const IDENTIFIER_RE = /^[a-zA-Z_][a-zA-Z0-9_]*(\.[a-zA-Z_][a-zA-Z0-9_]*)*$/;
+const VALID_ORDER_DIRS = new Set(['ASC', 'DESC']);
+const VALID_AGG_FNS = new Set(['COUNT', 'SUM', 'AVG', 'MIN', 'MAX']);
+const VALID_JOIN_TYPES = new Set(['INNER', 'LEFT', 'RIGHT', 'FULL']);
+/**
+ * SQL 식별자(컬럼명, 테이블명 등)를 검증하고 PostgreSQL 표준으로 이스케이프합니다.
+ *
+ * - 유효한 식별자 패턴 `[a-zA-Z_][a-zA-Z0-9_.]*` 에 맞지 않으면
+ *   `logger.error` 로 기록하고 `""` (빈 식별자) 를 반환합니다.
+ * - `"` 문자는 `""` 로 이중 이스케이프합니다 (PostgreSQL 표준).
+ * - `schema.table` / `table.column` 도트 표기법을 지원합니다.
+ *
+ * @example
+ * quoteIdentifier('first_name')   // → '"first_name"'
+ * quoteIdentifier('auth.users')   // → '"auth"."users"'
+ * quoteIdentifier('1; DROP TABLE')// → '""' + logger.error
+ */
+function quoteIdentifier(raw) {
+    if (!IDENTIFIER_RE.test(raw)) {
+        logger.error(`유효하지 않은 SQL 식별자 "${raw}". ` +
+            `허용 패턴: [a-zA-Z_][a-zA-Z0-9_]*(.[a-zA-Z_][a-zA-Z0-9_]*)*. ` +
+            `빈 식별자("")로 대체합니다.`);
+        return '""';
+    }
+    return raw
+        .split('.')
+        .map((part) => `"${part.replace(/"/g, '""')}"`)
+        .join('.');
+}
+/**
+ * 개발자가 정의하는 테이블/스키마 식별자를 이스케이프합니다.
+ * 패턴 검증 없이 `"` → `""` 이중 이스케이프만 수행합니다.
+ *
+ * `defineTable` 내부에서만 사용합니다 (개발자가 제어하는 정적 값).
+ *
+ * @example
+ * escapeSchemaIdentifier('auth')     // → '"auth"'
+ * escapeSchemaIdentifier('my"table') // → '"my""table"'
+ */
+function escapeSchemaIdentifier(name) {
+    return `"${name.replace(/"/g, '""')}"`;
+}
+/**
+ * ORDER BY 방향(ASC / DESC)을 검증합니다.
+ * 유효하지 않으면 `logger.error` 후 `'ASC'` 를 반환합니다.
+ */
+function validateOrderDir(dir) {
+    const upper = dir.toUpperCase();
+    if (!VALID_ORDER_DIRS.has(upper)) {
+        logger.error(`유효하지 않은 ORDER BY 방향 "${dir}". 허용 값: ASC, DESC. 'ASC'로 대체합니다.`);
+        return 'ASC';
+    }
+    return upper;
+}
+/**
+ * 집계 함수명(COUNT / SUM / AVG / MIN / MAX)을 검증합니다.
+ * 유효하지 않으면 `logger.error` 후 `'COUNT'` 를 반환합니다.
+ */
+function validateAggregateFn(fn) {
+    const upper = fn.toUpperCase();
+    if (!VALID_AGG_FNS.has(upper)) {
+        logger.error(`유효하지 않은 집계 함수 "${fn}". 허용 값: COUNT, SUM, AVG, MIN, MAX. 'COUNT'로 대체합니다.`);
+        return 'COUNT';
+    }
+    return upper;
+}
+/**
+ * JOIN 타입(INNER / LEFT / RIGHT / FULL)을 검증합니다.
+ * 유효하지 않으면 `logger.error` 후 `'INNER'` 를 반환합니다.
+ */
+function validateJoinType(type) {
+    const upper = type.toUpperCase();
+    if (!VALID_JOIN_TYPES.has(upper)) {
+        logger.error(`유효하지 않은 JOIN 타입 "${type}". 허용 값: INNER, LEFT, RIGHT, FULL. 'INNER'로 대체합니다.`);
+        return 'INNER';
+    }
+    return upper;
+}

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "reltype",
-  "version": "0.1.5",
+  "version": "0.1.7",
   "description": "Type-first relational modeling for PostgreSQL in TypeScript. Fluent query builder with automatic camelCase ↔ snake_case conversion, CRUD, streaming, cursor pagination, and hooks.",
   "main": "dist/index.js",
   "types": "dist/index.d.ts",