fix(security): закрыть IDOR курсов/уроков/назначений/раздачи (Спринт1 #1)

- courses: requireOwnership(created_by) на PUT/DELETE/duplicate/publish-all
  и все мутации секций — учитель больше не может править/удалять чужой курс.
- lessonController.create: проверка владения курсом перед вставкой урока.
- assign/unassign курса классу: проверка владения классом (_ownsClass).
- materials.share по userId: получатель должен быть учеником учителя
  (класс или teacher_students), иначе 403.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

backend/src/controllers/studentMaterialsController.js

@@ -148,7 +148,16 @@ function share(req, res) {
     recipients = db.prepare('SELECT user_id FROM class_members WHERE class_id = ?').all(b.classId).map(r => r.user_id);
   } else if (b.userId) {
     const uid = Number(b.userId);
-    if (Number.isFinite(uid)) recipients = [uid];
+    if (!Number.isFinite(uid)) return res.status(400).json({ error: 'bad userId' });
+    // Раздавать можно только своему ученику (в своём классе или в teacher_students).
+    if (req.user.role !== 'admin') {
+      const linked = db.prepare(
+        `SELECT 1 FROM class_members cm JOIN classes c ON c.id = cm.class_id WHERE cm.user_id = ? AND c.teacher_id = ?
+         UNION SELECT 1 FROM teacher_students WHERE student_id = ? AND teacher_id = ? LIMIT 1`
+      ).get(uid, req.user.id, uid, req.user.id);
+      if (!linked) return res.status(403).json({ error: 'Этот ученик не привязан к вам' });
+    }
+    recipients = [uid];
   } else {
     return res.status(400).json({ error: 'classId or userId required' });
   }