Update: 2026-06-16 01:17:28

2026-06-16 01:17:29 +03:00
parent 04943e3d52
commit fc58529b09
56 changed files with 1149 additions and 1314 deletions
--- a/backend/Admin/Staff/add.php
+++ b/backend/Admin/Staff/add.php
@@ -7,20 +7,27 @@ require_once __DIR__ . '/../../core/bootstrap.php';

 $con = Database::get('main');

-// التحقق من الصلاحيات: فقط المشرفين (super_admin أو admin) يمكنهم الإضافة
+// التحقق من الصلاحيات: فقط المشرف العام يمكنه إضافة مشرفين جدد
 $jwtService = new JwtService($redis);
 $auth = $jwtService->authenticate();
 $authRole = $auth->role ?? '';
-if ($authRole !== 'super_admin' && $authRole !== 'admin') {
-    jsonError("غير مصرح لك. فقط المشرفون يمكنهم إضافة موظفين.");
-    exit;
-}

 $name        = filterRequest("name");
 $phone       = filterRequest("phone");
 $email       = filterRequest("email");
 $password    = filterRequest("password");
 $role        = filterRequest("role"); // 'admin' or 'service'
+
+// ✅ FIX H-01: تقييد إضافة المشرفين لـ super_admin فقط
+if ($role === 'admin' && $authRole !== 'super_admin') {
+    jsonError("غير مصرح لك. فقط المشرف العام يمكنه إضافة مشرفين جدد.");
+    exit;
+}
+
+if ($authRole !== 'super_admin' && $authRole !== 'admin') {
+    jsonError("غير مصرح لك. فقط المشرفون يمكنهم إضافة موظفين.");
+    exit;
+}
 $fingerprint = filterRequest("fingerprint") ?: '';
 $gender      = filterRequest("gender") ?? 'Male';
 $birthdate   = filterRequest("birthdate") ?? date('Y-m-d');
@@ -45,12 +52,9 @@ try {
    $uniqueId = bin2hex(random_bytes(16));

    if ($role === 'admin') {
-        // الإضافة لجدول المديرين
-        // التأكد من وجود عمود phone في الجدول (كإجراء احترازي لتجنب الأخطاء إذا لم يكن موجوداً)
-        try {
-            $con->exec("ALTER TABLE adminUser ADD COLUMN phone VARCHAR(255) NULL AFTER name");
-        } catch (Exception $e) { /* العمود موجود مسبقاً */ }
-
+        // ✅ FIX R4: إزالة ALTER TABLE من كود الإنتاج — يجب تشغيل migration منفصل
+        // قبل استخدام هذا الكود، تأكد من تشغيل:
+        // ALTER TABLE adminUser ADD COLUMN IF NOT EXISTS phone VARCHAR(255) NULL AFTER name;
        $sql = "INSERT INTO adminUser (id, fingerprint, fingerprint_hash, name, phone, password, role, created_at) 
                VALUES (:id, :fp, :fp_hash, :name, :phone, :pass, :role, NOW())";
        $stmt = $con->prepare($sql);