fix: полное ревью системы — 15 исправлений безопасности и надёжности

Безопасность: - tests/🆔 скрыть is_correct и explanation для студентов (P0) - SQL injection: limit/offset через placeholder вместо template literal - Stored XSS: stripTags для lesson comments, flashcards, redBook sightings - profile.html: escape e.message в showMsg (XSS через server error) - attachment_url: валидация только /uploads/* путей - requestId: генерировать UUID сервером, не доверять клиенту - register: скрыть token_version из ответа Надёжность: - register: обработка UNIQUE constraint race condition - pet buyBg: re-check баланса внутри транзакции - DB errors: скрыть e.message в testController/questionController/courseController - preferences: лимит 50KB на размер JSON UX: - board.html: debounce 250ms на search input Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
2026-04-16 10:59:19 +03:00
parent 6cd0cf34d4
commit 3a4623a60a
12 changed files with 55 additions and 19 deletions
@@ -35,6 +35,8 @@ function patchPreferences(req, res) {
        db.prepare('SELECT data FROM user_preferences WHERE user_id = ?').get(req.user.id)?.data || '{}'
    );
    const merged = deepMerge(current, req.body);
+    if (JSON.stringify(merged).length > 50_000)
+        return res.status(413).json({ error: 'Preferences too large (max 50KB)' });
    db.prepare(`
        INSERT INTO user_preferences (user_id, data, updated_at)
        VALUES (?, ?, datetime('now'))