---
alwaysApply: true
---
- 입력 검증은 zod를 사용한다.
- 인증/권한은 PocketBase 클라이언트 래퍼 또는 라우터 가드 등으로 분리한다.

- 사용자 입력은 반드시 검증 후 저장한다.
- 환경 의존 값(URL 등)은 저장 전에 정규화한다.

- 업로드 파일명은 ASCII 안전 문자열을 사용한다.
- 관리자/사용자 업로드 경로를 분리한다.