fix: полное ревью системы — 15 исправлений безопасности и надёжности

Безопасность:
- tests/🆔 скрыть is_correct и explanation для студентов (P0)
- SQL injection: limit/offset через placeholder вместо template literal
- Stored XSS: stripTags для lesson comments, flashcards, redBook sightings
- profile.html: escape e.message в showMsg (XSS через server error)
- attachment_url: валидация только /uploads/* путей
- requestId: генерировать UUID сервером, не доверять клиенту
- register: скрыть token_version из ответа

Надёжность:
- register: обработка UNIQUE constraint race condition
- pet buyBg: re-check баланса внутри транзакции
- DB errors: скрыть e.message в testController/questionController/courseController
- preferences: лимит 50KB на размер JSON

UX:
- board.html: debounce 250ms на search input

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

backend/src/controllers/petController.js

@@ -245,8 +245,17 @@ function buyBg(req, res) {
   const owned = _parseOwned(user.pet_bg_owned);
   if (!owned.includes(id)) {
     if ((user.coins || 0) < item.price) return res.status(400).json({ error: 'insufficient_coins' });
-    db.prepare('UPDATE users SET coins=coins-?, pet_bg_owned=?, pet_bg=? WHERE id=?')
-      .run(item.price, JSON.stringify([...owned, id]), id, req.user.id);
+    const buy = db.transaction(() => {
+      // Re-check balance inside transaction to prevent race
+      const fresh = db.prepare('SELECT coins FROM users WHERE id=?').get(req.user.id);
+      if ((fresh.coins || 0) < item.price) throw new Error('insufficient_coins');
+      db.prepare('UPDATE users SET coins=coins-?, pet_bg_owned=?, pet_bg=? WHERE id=?')
+        .run(item.price, JSON.stringify([...owned, id]), id, req.user.id);
+    });
+    try { buy(); } catch (e) {
+      if (e.message === 'insufficient_coins') return res.status(400).json({ error: 'insufficient_coins' });
+      throw e;
+    }
   } else {
     db.prepare('UPDATE users SET pet_bg=? WHERE id=?').run(id, req.user.id);
   }