Update: 2026-06-16 01:17:28
This commit is contained in:
Hamza-Ayed
@@ -7,20 +7,27 @@ require_once __DIR__ . '/../../core/bootstrap.php';
|
||||
|
||||
$con = Database::get('main');
|
||||
|
||||
// التحقق من الصلاحيات: فقط المشرفين (super_admin أو admin) يمكنهم الإضافة
|
||||
// التحقق من الصلاحيات: فقط المشرف العام يمكنه إضافة مشرفين جدد
|
||||
$jwtService = new JwtService($redis);
|
||||
$auth = $jwtService->authenticate();
|
||||
$authRole = $auth->role ?? '';
|
||||
if ($authRole !== 'super_admin' && $authRole !== 'admin') {
|
||||
jsonError("غير مصرح لك. فقط المشرفون يمكنهم إضافة موظفين.");
|
||||
exit;
|
||||
}
|
||||
|
||||
$name = filterRequest("name");
|
||||
$phone = filterRequest("phone");
|
||||
$email = filterRequest("email");
|
||||
$password = filterRequest("password");
|
||||
$role = filterRequest("role"); // 'admin' or 'service'
|
||||
|
||||
// ✅ FIX H-01: تقييد إضافة المشرفين لـ super_admin فقط
|
||||
if ($role === 'admin' && $authRole !== 'super_admin') {
|
||||
jsonError("غير مصرح لك. فقط المشرف العام يمكنه إضافة مشرفين جدد.");
|
||||
exit;
|
||||
}
|
||||
|
||||
if ($authRole !== 'super_admin' && $authRole !== 'admin') {
|
||||
jsonError("غير مصرح لك. فقط المشرفون يمكنهم إضافة موظفين.");
|
||||
exit;
|
||||
}
|
||||
$fingerprint = filterRequest("fingerprint") ?: '';
|
||||
$gender = filterRequest("gender") ?? 'Male';
|
||||
$birthdate = filterRequest("birthdate") ?? date('Y-m-d');
|
||||
@@ -45,12 +52,9 @@ try {
|
||||
$uniqueId = bin2hex(random_bytes(16));
|
||||
|
||||
if ($role === 'admin') {
|
||||
// الإضافة لجدول المديرين
|
||||
// التأكد من وجود عمود phone في الجدول (كإجراء احترازي لتجنب الأخطاء إذا لم يكن موجوداً)
|
||||
try {
|
||||
$con->exec("ALTER TABLE adminUser ADD COLUMN phone VARCHAR(255) NULL AFTER name");
|
||||
} catch (Exception $e) { /* العمود موجود مسبقاً */ }
|
||||
|
||||
// ✅ FIX R4: إزالة ALTER TABLE من كود الإنتاج — يجب تشغيل migration منفصل
|
||||
// قبل استخدام هذا الكود، تأكد من تشغيل:
|
||||
// ALTER TABLE adminUser ADD COLUMN IF NOT EXISTS phone VARCHAR(255) NULL AFTER name;
|
||||
$sql = "INSERT INTO adminUser (id, fingerprint, fingerprint_hash, name, phone, password, role, created_at)
|
||||
VALUES (:id, :fp, :fp_hash, :name, :phone, :pass, :role, NOW())";
|
||||
$stmt = $con->prepare($sql);
|
||||
|
||||
@@ -2,36 +2,45 @@
|
||||
/**
|
||||
* Admin/Staff/setup.php
|
||||
* سكربت إعداد المسؤول الأول (Super Admin)
|
||||
* يستخدم لمرة واحدة فقط عندما تكون الجداول فارغة
|
||||
* ⚠️ للاستخدام لمرة واحدة فقط. يحمي نفسه بـ MIGRATION_ADMIN_KEY.
|
||||
* بعد أول تشغيل ناجح، امسح الملف من السيرفر.
|
||||
*/
|
||||
require_once __DIR__ . '/../../core/bootstrap.php';
|
||||
|
||||
// ── حماية بمفتاح الترحيل ────────────────────────────────
|
||||
$adminKey = filterRequest('admin_key') ?? '';
|
||||
$expectedAdminKey = getenv('MIGRATION_ADMIN_KEY');
|
||||
if (empty($adminKey) || empty($expectedAdminKey) || !hash_equals($expectedAdminKey, $adminKey)) {
|
||||
http_response_code(403);
|
||||
exit(json_encode(['error' => 'Access denied. Admin key required.']));
|
||||
}
|
||||
|
||||
$con = Database::get('main');
|
||||
|
||||
// تم تعطيل التحقق للسماح بإعادة التهيئة
|
||||
// $count = $con->query("SELECT COUNT(*) FROM adminUser")->fetchColumn();
|
||||
// if ($count > 0) {
|
||||
// die("Access Denied: Admin already initialized.");
|
||||
// }
|
||||
// ── منع إعادة التهيئة إذا كان هناك مشرفون مسبقاً ─────────
|
||||
$count = $con->query("SELECT COUNT(*) FROM adminUser")->fetchColumn();
|
||||
if ($count > 0) {
|
||||
http_response_code(403);
|
||||
exit(json_encode(['error' => 'Admin already initialized. This script runs only once.']));
|
||||
}
|
||||
|
||||
$password = "malDev@2101"; // كلمة المرور المؤقتة
|
||||
// ── كلمة المرور من البيئة أو تُنشأ عشوائياً ──────────────
|
||||
$password = getenv('SETUP_SUPER_ADMIN_PASSWORD');
|
||||
if (!$password) {
|
||||
$password = bin2hex(random_bytes(12));
|
||||
}
|
||||
$hashedPass = password_hash($password, PASSWORD_DEFAULT);
|
||||
|
||||
// قائمة بالمسؤولين الأوائل (بصمات أجهزتك)
|
||||
// ── بصمات افتراضية (تُستبدل عند أول تسجيل دخول فعلي) ───
|
||||
$admins = [
|
||||
[
|
||||
'name' => 'Hamza (iPhone)',
|
||||
'fp' => 'D386663E-51E1-4322-B1E2-F469C7E58063_iPhone', // مثال بناءً على وصفك (deviceId_model)
|
||||
'role' => 'admin'
|
||||
],
|
||||
[
|
||||
'name' => 'Hamza (MacBook)',
|
||||
'fp' => '5449E3D3-E427-50D7-91A6-D86D973DC6E0_Mac15,3', // مثال للماك بوك
|
||||
'role' => 'admin'
|
||||
'name' => 'Super Admin',
|
||||
'fp' => 'SETUP_DEFAULT_FP_001',
|
||||
'role' => 'super_admin'
|
||||
]
|
||||
];
|
||||
|
||||
try {
|
||||
$con->exec("DELETE FROM adminUser");
|
||||
foreach ($admins as $admin) {
|
||||
$encName = $encryptionHelper->encryptData($admin['name']);
|
||||
$encFp = $encryptionHelper->encryptData($admin['fp']);
|
||||
|
||||
@@ -1,74 +0,0 @@
|
||||
<?php
|
||||
/**
|
||||
* Admin/auth/debug_login.php
|
||||
* ملف تشخيصي مؤقت — يُحذف بعد التحقق
|
||||
*/
|
||||
header('Content-Type: application/json; charset=UTF-8');
|
||||
error_reporting(E_ALL);
|
||||
ini_set('display_errors', '1');
|
||||
|
||||
$checks = [];
|
||||
|
||||
// 1. التحقق من ملف bootstrap
|
||||
$bootstrapPath = __DIR__ . '/../../core/bootstrap.php';
|
||||
$checks['bootstrap_exists'] = file_exists($bootstrapPath);
|
||||
|
||||
// 2. محاولة تحميل bootstrap مع التقاط الأخطاء
|
||||
try {
|
||||
ob_start();
|
||||
require_once $bootstrapPath;
|
||||
$bootstrapOutput = ob_get_clean();
|
||||
$checks['bootstrap_loaded'] = true;
|
||||
$checks['bootstrap_output'] = $bootstrapOutput ?: '(clean)';
|
||||
} catch (Throwable $e) {
|
||||
ob_end_clean();
|
||||
$checks['bootstrap_loaded'] = false;
|
||||
$checks['bootstrap_error'] = $e->getMessage() . ' in ' . $e->getFile() . ':' . $e->getLine();
|
||||
}
|
||||
|
||||
// 3. التحقق من الدوال المطلوبة
|
||||
$checks['filterRequest_exists'] = function_exists('filterRequest');
|
||||
$checks['jsonError_exists'] = function_exists('jsonError');
|
||||
$checks['sendWhatsAppFromServer_exists'] = function_exists('sendWhatsAppFromServer');
|
||||
|
||||
// 4. التحقق من قاعدة البيانات
|
||||
try {
|
||||
$con = Database::get('main');
|
||||
$checks['db_connected'] = true;
|
||||
|
||||
// التحقق من بنية الجدول
|
||||
$stmt = $con->query("DESCRIBE adminUser");
|
||||
$columns = $stmt->fetchAll(PDO::FETCH_COLUMN);
|
||||
$checks['adminUser_columns'] = $columns;
|
||||
|
||||
// هل يوجد جدول token_verification_admin؟
|
||||
$stmt2 = $con->query("SHOW TABLES LIKE 'token_verification_admin'");
|
||||
$checks['token_verification_admin_exists'] = $stmt2->rowCount() > 0;
|
||||
|
||||
if (!$checks['token_verification_admin_exists']) {
|
||||
$checks['CRITICAL'] = 'Table token_verification_admin does NOT exist! This is why login fails.';
|
||||
}
|
||||
} catch (Throwable $e) {
|
||||
$checks['db_connected'] = false;
|
||||
$checks['db_error'] = $e->getMessage();
|
||||
}
|
||||
|
||||
// 5. التحقق من PHP error log الأخير
|
||||
$logPath = '/home/siro-api/logs/php_errors.log';
|
||||
if (file_exists($logPath)) {
|
||||
$lines = file($logPath);
|
||||
$checks['last_5_errors'] = array_map('trim', array_slice($lines, -5));
|
||||
} else {
|
||||
$logPath2 = __DIR__ . '/../../logs/php_errors.log';
|
||||
if (file_exists($logPath2)) {
|
||||
$lines = file($logPath2);
|
||||
$checks['last_5_errors'] = array_map('trim', array_slice($lines, -5));
|
||||
} else {
|
||||
$checks['error_log'] = 'Log file not found';
|
||||
}
|
||||
}
|
||||
|
||||
// 6. نسخة PHP
|
||||
$checks['php_version'] = PHP_VERSION;
|
||||
|
||||
echo json_encode($checks, JSON_PRETTY_PRINT | JSON_UNESCAPED_UNICODE);
|
||||
@@ -17,9 +17,33 @@ if (empty($fingerprint) || empty($password)) {
|
||||
exit;
|
||||
}
|
||||
|
||||
// Rate Limiting: 5 محاولات في الدقيقة لكل IP
|
||||
// Rate Limiting محسَّن مع Exponential Backoff
|
||||
$rateLimiter = new RateLimiter($redis);
|
||||
$rateLimiter->enforce(RateLimiter::identifier(), 'login');
|
||||
$rateLimiter->enforce(RateLimiter::identifier(), 'login', maxAttempts: 5, windowSeconds: 60);
|
||||
|
||||
// تتبع المحاولات الفاشلة لكل حساب لمنع credential stuffing عبر IPs متعددة
|
||||
if ($redis && !empty($phone)) {
|
||||
$accountKey = "login_attempts:account:" . hash('sha256', $phone);
|
||||
$accountAttempts = (int) $redis->get($accountKey);
|
||||
|
||||
if ($accountAttempts >= 5) {
|
||||
$ttl = $redis->ttl($accountKey);
|
||||
$waitMinutes = ceil($ttl / 60);
|
||||
jsonError("تم تعليق تسجيل الدخول لهذا الحساب مؤقتاً. يرجى المحاولة بعد {$waitMinutes} دقيقة.");
|
||||
exit;
|
||||
}
|
||||
}
|
||||
|
||||
// تسجيل محاولة تسجيل الدخول للتدقيق
|
||||
$loginAuditData = [
|
||||
'ip' => $_SERVER['REMOTE_ADDR'] ?? 'unknown',
|
||||
'fingerprint_hash' => $fpHash ?? null,
|
||||
'phone_hash' => !empty($phone) ? hash('sha256', $phone) : null,
|
||||
'timestamp' => date('Y-m-d H:i:s'),
|
||||
'user_agent' => $_SERVER['HTTP_USER_AGENT'] ?? 'unknown',
|
||||
'result' => 'pending'
|
||||
];
|
||||
error_log("[LOGIN_AUDIT] " . json_encode($loginAuditData));
|
||||
|
||||
try {
|
||||
$con = Database::get('main');
|
||||
@@ -96,8 +120,8 @@ try {
|
||||
exit;
|
||||
}
|
||||
|
||||
// 3. توليد رمز تحقق OTP (6 أرقام) وإرساله عبر WhatsApp
|
||||
$otp = rand(100000, 999999);
|
||||
// 3. توليد رمز تحقق OTP (3 أرقام) وإرساله عبر WhatsApp
|
||||
$otp = random_int(100, 999);
|
||||
$encryptedPhone = $admin['phone'] ?? '';
|
||||
|
||||
if (empty($encryptedPhone)) {
|
||||
@@ -116,13 +140,11 @@ try {
|
||||
$success = sendWhatsAppFromServer($phone, $messageBody);
|
||||
|
||||
if ($success) {
|
||||
// حفظ الرمز مشفراً في قاعدة البيانات (وحفظ رقم الهاتف مشفراً أيضاً)
|
||||
$encryptedOtp = $encryptionHelper->encryptData((string)$otp);
|
||||
|
||||
// حفظ الرمز كما هو في قاعدة البيانات (بدون تشفير)
|
||||
$stmt = $con->prepare("INSERT INTO token_verification_admin (phone_number, token, expiration_time)
|
||||
VALUES (?, ?, DATE_ADD(NOW(), INTERVAL 10 MINUTE))
|
||||
ON DUPLICATE KEY UPDATE token = VALUES(token), expiration_time = VALUES(expiration_time)");
|
||||
$stmt->execute([$encryptedPhone, $encryptedOtp]);
|
||||
$stmt->execute([$encryptedPhone, $otp]);
|
||||
|
||||
// إخفاء جزء من الرقم في الاستجابة للأمان
|
||||
$maskedPhone = substr($phone, 0, 4) . '****' . substr($phone, -3);
|
||||
@@ -143,5 +165,6 @@ try {
|
||||
}
|
||||
} catch (Exception $e) {
|
||||
error_log("[Admin Login Error] " . $e->getMessage());
|
||||
jsonError("خطأ في السيرفر: " . $e->getMessage());
|
||||
}
|
||||
// لا تسرب رسالة الخطأ الداخلية في الإنتاج
|
||||
jsonError("حدث خطأ في السيرفر. يرجى المحاولة لاحقاً.");
|
||||
}
|
||||
|
||||
10
backend/Admin/debug/.htaccess
Normal file
10
backend/Admin/debug/.htaccess
Normal file
@@ -0,0 +1,10 @@
|
||||
# 🔒 SECURITY: Block all access to debug files
|
||||
# This directory contains sensitive debugging scripts
|
||||
# DO NOT remove this file in production
|
||||
|
||||
<RequireAll>
|
||||
Require all denied
|
||||
</RequireAll>
|
||||
|
||||
# Alternative for older Apache:
|
||||
# Deny from all
|
||||
@@ -6,7 +6,7 @@
|
||||
require_once __DIR__ . '/../core/bootstrap.php';
|
||||
|
||||
header('Content-Type: application/json');
|
||||
header("Access-Control-Allow-Origin: https://intaleqapp.com");
|
||||
header("Access-Control-Allow-Origin: https://siromove.com");
|
||||
header("Access-Control-Allow-Methods: POST, OPTIONS");
|
||||
header("Access-Control-Allow-Headers: Content-Type, Authorization");
|
||||
|
||||
|
||||
@@ -6,7 +6,7 @@
|
||||
|
||||
require_once __DIR__ . '/../../connect.php'; // تأكد أن هذا الملف يحتوي على $con_tracking
|
||||
|
||||
header("Access-Control-Allow-Origin: *");
|
||||
header("Access-Control-Allow-Origin: https://siromove.com");
|
||||
header("Content-Type: application/json; charset=UTF-8");
|
||||
|
||||
try {
|
||||
|
||||
@@ -1,7 +1,7 @@
|
||||
<?php
|
||||
require_once __DIR__ . '/../../connect.php';
|
||||
|
||||
header("Access-Control-Allow-Origin: *");
|
||||
header("Access-Control-Allow-Origin: https://siromove.com");
|
||||
header('Content-Type: application/json; charset=utf-8');
|
||||
|
||||
try {
|
||||
|
||||
Reference in New Issue
Block a user