fix: полное ревью системы — 15 исправлений безопасности и надёжности · 3a4623a60a - Learn_System

fix: полное ревью системы — 15 исправлений безопасности и надёжности

Безопасность:
- tests/🆔 скрыть is_correct и explanation для студентов (P0)
- SQL injection: limit/offset через placeholder вместо template literal
- Stored XSS: stripTags для lesson comments, flashcards, redBook sightings
- profile.html: escape e.message в showMsg (XSS через server error)
- attachment_url: валидация только /uploads/* путей
- requestId: генерировать UUID сервером, не доверять клиенту
- register: скрыть token_version из ответа

Надёжность:
- register: обработка UNIQUE constraint race condition
- pet buyBg: re-check баланса внутри транзакции
- DB errors: скрыть e.message в testController/questionController/courseController
- preferences: лимит 50KB на размер JSON

UX:
- board.html: debounce 250ms на search input

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

This commit is contained in:

Maxim Dolgolyov

2026-04-16 10:59:19 +03:00

parent 6cd0cf34d4

commit 3a4623a60a

12 changed files with 55 additions and 19 deletions

									
										backend/src/middleware/errorHandler.js
									
		+1
		-1
	
												View File
												
				@@ -25,7 +25,7 @@ function getErrorLogStmt() {

				 * Honour an incoming X-Request-Id from trusted proxies/gateways when present.

				 */

				function requestId(req, res, next) {

				  const id = req.headers['x-request-id'] || crypto.randomUUID();

				  const id = crypto.randomUUID();

				  req.requestId = id;

				  res.setHeader('X-Request-Id', id);

				  next();