1c747af1b6
- Usunięty błędny guard w summaryView() blokujący kolejne zamówienia - Token zamówienia z jednorazowego na TTL 30 min (multi-tab safe) - Logowanie błędów zamówień do logs/logs-order-YYYY-MM-DD.log - Redirect przy złym tokenie na /koszyk-podsumowanie zamiast /koszyk - Double-submit guard przeniesiony przed sprawdzenie tokena Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>
4.8 KiB
Roadmap: shopPRO
Overview
shopPRO to autorski silnik sklepu internetowego rozwijany iteracyjnie. Projekt jest już na produkcji (v0.333) — roadmap obejmuje planowane funkcje i usprawnienia kolejnych wersji.
Current Milestone
Security hardening (v0.33x) Status: In progress Phases: 3 of 4 complete
Phases
| Phase | Name | Plans | Status | Completed |
|---|---|---|---|---|
| 1 | Sensitive data logging fix | 1 | Done | 2026-03 |
| 2 | Path traversal + XSS escaping | 1 | Done | 2026-03 (v0.335) |
| 3 | Error handling w krytycznych ścieżkach | 1 | Done | 2026-03 (v0.336) |
| 4 | CSRF protection — admin panel forms | 1 | Applied | 2026-03 (v0.337) |
| 5 | Order bugs fix — duplicate + COD status | 1 | Applied | 2026-03 (v0.338) |
Next Milestone
Tech debt — Integrations refactoring Status: Planning
| Phase | Name | Plans | Status | Completed |
|---|---|---|---|---|
| 6 | IntegrationsRepository split → ApiloRepository | 2 | Done | 2026-03 |
Hotfix
| Phase | Name | Plans | Status | Completed |
|---|---|---|---|---|
| 7 | Coupon Fatal Error — order placement crash | 1 | Done | 2026-03-15 |
| 8 | Apilo orders not sending — diagnoza i naprawa | 1 | Done | 2026-03-16 |
| 9 | Apilo email notification + infinite retry | 1 | Done | 2026-03-19 |
Feature
| Phase | Name | Plans | Status | Completed |
|---|---|---|---|---|
| 10 | Edycja personalizacji produktu w koszyku | 1 | Done | 2026-03-19 |
| 11 | DataLayer GA4 analytics fix | 1 | Done | 2026-03-25 |
| 12 | summaryView redirect fix — double order block | 1 | Done | 2026-03-25 |
| 13 | Basket logging + TTL token fix | 1 | Done | 2026-03-25 |
Phase Details
Phase 4 — CSRF protection
Problem: Brak tokenów CSRF na formularzach panelu admina. State-changing POST endpointy (create/update/delete) są potencjalnie podatne na ataki CSRF.
Scope: Dodanie CSRF tokenów do formularzy i walidacji w panelu administracyjnym.
Reference: .paul/codebase/concerns.md — MEDIUM — Missing CSRF tokens
Phase 6 — IntegrationsRepository split
Problem: IntegrationsRepository ma 875 linii — miesza logikę generyczną (settings, logi, product linking) z logiką specyficzną dla Apilo (~650 linii). Narusza zasadę jednej odpowiedzialności.
Scope:
- Plan 06-01: Utwórz
ApiloRepositoryz metodami apilo* (non-breaking) - Plan 06-02: Zmigruj konsumentów (IntegrationsController, ShopProductController, OrderAdminService, cron.php), usuń apilo* z IntegrationsRepository
Phase 5 — Order bugs fix
Problem 1: Zduplikowane zamówienia — klient widzi błąd i klika złóż zamówienie ponownie. Pierwsze zamówienie trafiło do bazy mimo błędu. Powrót do /podsumowanie regeneruje token i pozwala złożyć drugie zamówienie.
Problem 2: Zamówienia COD (płatność przy odbiorze) dostają status "Zamówienie złożone" zamiast "Przyjęte do realizacji". Kod sprawdza hardkodowane payment_id == 3, które jest inne w tej instancji sklepu.
Scope: Guard w summaryView(), try-catch w basketSave(), kolumna is_cod w pp_shop_payment_methods, użycie flagi zamiast hardkodowanego ID.
Roadmap created: 2026-03-12
Phase 11 — DataLayer GA4 analytics fix
Problem: Eventy dataLayer ecommerce (purchase, begin_checkout, view_item, add_to_cart) używają starego formatu UA (id/name zamiast item_id/item_name), brak currency w view_item, price:0 w purchase, brak eventu view_cart. Remarketing dynamiczny i konwersje GA4 nie działają poprawnie.
Scope: Poprawka 4 istniejących eventów do formatu GA4 + dodanie nowego eventu view_cart na stronie koszyka.
Reference: poprawki_datalayer_projectpro.md — audyt analityki z pomysloweprezenty.pl
Phase 12 — summaryView redirect fix
Problem: Po złożeniu pierwszego zamówienia, guard w summaryView() sprawdzał sesyjny order-submit-last-order-id i redirectował na stronę starego zamówienia. Blokował dostęp do /koszyk-podsumowanie dla kolejnych zamówień. Poprawka z instancji klienta (change.md) do wdrożenia globalnie.
Scope: Usunięcie bloku redirect z summaryView() w ShopBasketController.php. Double-submit protection w basketSave() pozostaje bez zmian.
Phase 13 — Basket logging + TTL token fix
Problem: Brak logowania w basketSave() uniemożliwia diagnozę błędów zamówień. Token zamówienia jednorazowy — nadpisywany przy każdym wejściu na podsumowanie, co powoduje że druga karta, "wstecz" lub odświeżenie unieważnia formularz.
Scope: Dodanie metody logOrder() z 4 punktami logowania, zmiana tokena z jednorazowego na TTL 30 min, redirect przy błędzie tokena na /koszyk-podsumowanie zamiast /koszyk, nowy double-submit guard.
Last updated: 2026-03-25