fix: agents.md, 7 colonne dichiarate, 8 valori - NULL finiva su nome

Author: lucasalva87

AGENTS.md

@@ -278,8 +278,7 @@ VALUES (1, LAST_INSERT_ID(), 'Mio Plugin');
 ### Registering Settings (`zz_settings`)
 
 ```sql
-INSERT INTO `zz_settings` (`nome`, `valore`, `tipo`, `editable`, `sezione`, `order`, `is_user_setting`)
-VALUES
+INSERT INTO `zz_settings` (`id`, `nome`, `valore`, `tipo`, `editable`, `sezione`, `order`, `is_user_setting`) VALUES
 (NULL, 'Abilita funzionalità X', '0', 'boolean', 1, 'Generali', 10, 0);
 
 INSERT INTO `zz_settings_lang` (`id_lang`, `id_record`, `title`, `help`)

analysis/architecture-analysis.md

@@ -0,0 +1,161 @@
+# OpenSTAManager – Architecture Analysis
+> Generato automaticamente – Fase 1 (Discovery & Architecture)
+
+## Pattern architetturale generale
+
+OpenSTAManager adotta un'architettura **ibrida** che combina:
+
+1. **Legacy MVC PHP** – Il nucleo storico: `core.php` inizializza la sessione, il database e il translator; `controller.php` / `editor.php` fungono da dispatcher front-controller che includono dinamicamente i file PHP dei moduli.
+2. **Laravel moderno** – Laravel 12 è usato come layer di infrastruttura (Eloquent ORM, Routing, Queue, Mail, API Platform). Il file `bootstrap/app.php` crea l'Application Laravel con routing in `routes/`.
+3. **Moduli plug-in** – La logica di business è organizzata in **moduli** (`modules/`) e **plugin** (`plugins/`), ognuno con la propria struttura `src/`, `custom/src/`, viste PHP e risorse.
+
+---
+
+## Mappa dei componenti principali
+
+```
+┌─────────────────────────────────────────────────────────────┐
+│                      Browser / Client                       │
+└──────────────────────┬──────────────────────────────────────┘
+                       │ HTTP
+          ┌────────────▼────────────────┐
+          │      Entry Points           │
+          │  index.php / controller.php │
+          │  editor.php / ajax*.php     │
+          │  api/index.php              │
+          └────────────┬────────────────┘
+                       │
+          ┌────────────▼────────────────┐
+          │         core.php            │  Bootstrap globale
+          │  - Sessione PHP             │
+          │  - App::getConfig()         │
+          │  - Database (singleton)     │
+          │  - Translator               │
+          │  - AuthOSM                  │
+          └────────────┬────────────────┘
+                       │
+       ┌───────────────┼───────────────────┐
+       │               │                   │
+┌──────▼──────┐ ┌──────▼──────┐ ┌─────────▼────────┐
+│  src/App.php │ │src/Modules  │ │  src/Database.php │
+│  Config      │ │ .php        │ │  (Eloquent        │
+│  Assets      │ │ Module list │ │   Capsule)        │
+│  File paths  │ │ Hierarchy   │ │                   │
+└──────┬───────┘ └──────┬──────┘ └─────────┬─────────┘
+       │                │                   │
+       │         ┌──────▼──────┐     ┌──────▼──────┐
+       │         │ modules/    │     │ src/Models/ │
+       │         │ ~70 moduli  │     │ Eloquent    │
+       │         │ plugins/    │     │ Models      │
+       │         │ ~30 plugin  │     └─────────────┘
+       │         └─────────────┘
+       │
+┌──────▼───────────────────────────────┐
+│           assets/ (frontend)         │
+│  Bootstrap, AdminLTE, jQuery,        │
+│  FullCalendar, Chart.js – build Gulp │
+└──────────────────────────────────────┘
+```
+
+---
+
+## Struttura directory – ruolo di ogni cartella
+
+| Directory | Contenuto |
+|---|---|
+| `src/` | Core PHP: App, Auth, Database, Modules, Models, Controllers Laravel, API, Util |
+| `modules/` | ~70 moduli applicativi (ogni modulo = directory autonoma con PHP + src/) |
+| `plugins/` | ~30 plugin (logica add-on attaccata ai moduli) |
+| `templates/` | Template di stampa PDF (mPDF/html2pdf) |
+| `include/` | Partials HTML: header/footer, form comuni, init scripts |
+| `config/` | Configurazioni Laravel (database, mail, cache, osm, sanctum…) |
+| `routes/` | Routing Laravel (web.php, api.php, console.php) |
+| `bootstrap/` | Bootstrap Laravel (app.php, providers.php) |
+| `assets/src` | Sorgenti frontend (SCSS, JS) da compilare con Gulp |
+| `assets/dist` | Asset compilati serviti al browser |
+| `locale/` | File .po/.mo per internazionalizzazione (it_IT, en_GB, de_DE) |
+| `update/` | Script di migrazione SQL/PHP per ogni versione |
+| `lib/` | Funzioni helper globali (functions.php, common.php, util.php) |
+| `files/` | Allegati e file upload organizzati per modulo |
+| `vendor/` | Dipendenze Composer |
+| `node_modules/` | Dipendenze npm/yarn |
+| `docker/` | Configurazione Docker per sviluppo |
+| `logs/` | Log applicativi (error.log, cron-*.log, setup.log) |
+| `storage/` | Storage Laravel (framework cache, logs) |
+
+---
+
+## Sistema dei Moduli
+
+Ogni modulo in `modules/<nome>/` ha questa struttura tipica:
+
+```
+modules/fatture/
+├── src/                  # Classi PHP del modulo (namespace Modules\Fatture\)
+├── custom/src/           # Override personalizzati (non sovrascritti dagli aggiornamenti)
+├── init.php              # Inizializzazione modulo
+├── modutil.php           # Utility specifiche
+├── edit.php              # Vista di dettaglio/modifica
+├── actions.php           # Azioni POST del modulo
+└── bulk.php              # Operazioni bulk
+```
+
+Il sistema `custom/` è il meccanismo ufficiale di personalizzazione: i file in `custom/src/` e `custom/` sovrascrivono quelli standard senza toccare il codice base, sopravvivendo agli aggiornamenti.
+
+---
+
+## Flusso di una richiesta tipica
+
+```
+1. Browser → controller.php?id_module=X&id_record=Y
+2. core.php  → inizializza sessione, DB, auth, translator
+3. AuthOSM::check() → verifica login
+4. Permissions::check() → verifica permessi modulo
+5. Modules::getCurrent() → carica metadati modulo da DB
+6. include modules/<nome>/init.php → inizializza modulo
+7. App::load('edit.php', ...) → cerca custom/ poi standard
+8. Output HTML con include top.php / bottom.php
+```
+
+---
+
+## Sistema di autenticazione
+
+- **Classe**: `AuthOSM` (src/AuthOSM.php)
+- **Sessione PHP** nativa per la sessione utente
+- **OAuth2** via `zz_oauth2` table: supporto Microsoft, Google, Keycloak
+- **Token OTP**: accesso temporaneo per link condivisi (`zz_tokens`)
+- **Brute-force**: lockout automatico dopo N tentativi falliti
+- **Intended URL**: redirect post-login all'URL originale richiesto
+
+---
+
+## API REST
+
+- **Path**: `api/index.php` + `routes/api.php`
+- **Framework**: Laravel + API Platform ^4.1
+- **Auth**: Laravel Sanctum (Bearer token)
+- **Risorse**: auto-generate da `src/Models/ApiResource.php`
+
+---
+
+## Internazionalizzazione
+
+- File `.po`/`.mo` in `locale/`
+- Lingue: `it_IT` (primaria), `en_GB`, `de_DE`
+- Classe: `src/Translator.php` + `symfony/translation`
+- Helper globale: `tr()` (alias di traduzione)
+
+---
+
+## Pattern "Custom Override"
+
+Il sistema riconosce percorsi con `|custom|` e cerca prima `custom/` poi il file standard:
+
+```php
+// App::filepath('include|custom|/common/', 'form.php')
+// cerca: include/common/custom/form.php  → se esiste usa questo
+// altrimenti: include/common/form.php
+```
+
+Stesso meccanismo per i moduli: `modules/<nome>/custom/src/` sovrascrive `modules/<nome>/src/`.

analysis/code-patterns-identified.md

@@ -0,0 +1,144 @@
+# Pattern del Codice – Analisi Trasversale
+> Fase 2 – Component Analysis
+
+## Pattern rilevati nel codebase
+
+---
+
+### 1. Pattern "Dual Write" per campi tradotti
+Ogni operazione su un'entità con campi traducibili richiede
+una scrittura doppia: tabella principale + tabella `_lang`.
+
+```php
+// INSERT nuovo modulo → SEMPRE doppia scrittura
+$dbo->insert('zz_modules', ['name' => 'MioModulo', 'enabled' => 1]);
+$dbo->insert('zz_modules_lang', [
+    'id_record' => $id,
+    'id_lang'   => $id_lang,
+    'title'     => 'Mio Modulo'
+]);
+```
+
+Tabelle principali con corrispondente `_lang`:
+`zz_modules`, `co_statidocumento`, `co_tipidocumento`, `co_pagamenti`,
+`dt_causalet`, `zz_segments`, `zz_views`, e molte altre.
+
+---
+
+### 2. Pattern "Custom Override" (personalizzazioni sicure)
+Il meccanismo `|custom|` in `App::filepath()` cerca prima `custom/` poi il file standard.
+Permette override senza modificare il codice base (aggiornamenti sicuri).
+
+```
+modules/fatture/edit.php          → file standard
+modules/fatture/custom/edit.php   → override personalizzato (ha precedenza)
+
+modules/fatture/src/Fattura.php          → classe standard
+modules/fatture/custom/src/Fattura.php   → override personalizzato
+```
+
+---
+
+### 3. Pattern "Superselect" per filtri contestuali
+Array `$superselect` passato alle select per filtrare dinamicamente le opzioni:
+
+```php
+$superselect['dir'] = 'entrata'; // filtra tipi documento per direzione
+$superselect['idtipodocumento'] = $record['idtipodocumento'];
+// HTMLBuilder SelectHandler usa questi valori come WHERE aggiuntivi
+```
+
+---
+
+### 4. Pattern "Init + Edit + Actions" per ogni modulo
+Ogni modulo segue questa struttura di file obbligatori:
+
+```
+init.php      → carica il record dal DB, inizializza variabili
+edit.php      → HTML del form (usa tag HTMLBuilder)
+actions.php   → gestisce le operazioni POST (op=save, op=delete, ecc.)
+modutil.php   → funzioni utility specifiche del modulo
+```
+
+---
+
+### 5. Pattern "op" per le azioni
+Tutte le azioni POST usano il parametro `op`:
+
+```php
+$op = post('op'); // o filter('op')
+
+switch ($op) {
+    case 'save':    // salva record
+    case 'delete':  // elimina record
+    case 'upload':  // carica file
+    // ...
+}
+```
+
+---
+
+### 6. Helper globali come alias
+Il codebase usa molti helper PHP globali per accesso rapido a oggetti singleton:
+
+```php
+database()    // → Database::getInstance()
+auth_osm()    // → AuthOSM::getInstance()
+setting($key) // → Settings::get($key)
+tr($string)   // → traduzione
+filter($key)  // → input GET sanitizzato
+post($key)    // → input POST sanitizzato
+prepare($val) // → PDO::quote() per query
+flash()       // → App::flash() per messaggi utente
+```
+
+---
+
+### 7. Pattern Documenti – Direzione entrata/uscita
+I moduli `Fatture di vendita` e `Fatture di acquisto` condividono la stessa
+tabella `co_documenti` e la stessa logica, differenziati da `co_tipidocumento.dir`:
+
+```php
+if ($module->name == 'Fatture di vendita') {
+    $dir = 'entrata';
+} else {
+    $dir = 'uscita';
+}
+```
+Stesso pattern per DDT, Ordini, Preventivi.
+
+---
+
+### 8. Pattern Riferimenti Incrociati
+I documenti sono collegati tra loro tramite campi `ref_documento`:
+- Fattura → Note di credito (`reversed=1`, `ref_documento`)
+- Fattura → Autofattura (`id_autofattura`)
+- DDT → Fattura
+- Ordine → DDT → Fattura
+
+---
+
+## Problemi tecnici identificati
+
+### 1. Mixed query styles (debito tecnico)
+Convivono tre stili di query: raw PDO, API imperativa `$dbo->fetchArray()`,
+e Eloquent Model. Non c'è una linea guida unica.
+
+### 2. Query SQL inline nei template (init.php)
+Query SQL complesse con molte JOIN nei file `init.php` dei moduli.
+Difficile testare e riutilizzare questa logica.
+
+### 3. SelectHandler con query SQL nel template
+```php
+{[ "type": "select", "values": "query=SELECT id, nome FROM an_anagrafiche WHERE ..." ]}
+```
+Il parametro `values` può contenere SQL arbitrario proveniente dal file di template.
+Non accetta input utente quindi sicuro, ma difficile da manutenere.
+
+### 4. Global scope `enabled` su Module
+Il global scope filtra sempre i moduli disabilitati.
+Per accedere a moduli disabilitati serve `withoutGlobalScope('enabled')`.
+
+### 5. ob_start() per template rendering
+Il rendering usa output buffering PHP nativo invece di un template engine.
+Rende il debug dei template più complesso.

analysis/codebase-analysis-progress.md

@@ -0,0 +1,73 @@
+# OpenSTAManager – Codebase Analysis Progress
+> File di stato per continuità tra sessioni di analisi
+
+## Progetto
+- **Path**: `C:\wamp64\www\openstamanager`
+- **Analisi completata**: 2026-03-16
+
+---
+
+## ✅ ANALISI COMPLETA – Tutte e 3 le fasi completate
+
+---
+
+## Fasi completate
+
+### ✅ Fase 1 – Discovery & Architecture
+**Scoperte chiave**: architettura ibrida Laravel 12 + legacy PHP, ~70 moduli + ~30 plugin,
+sistema custom/ per personalizzazioni, auth multi-provider, API Platform + Sanctum.
+
+### ✅ Fase 2 – Component Analysis
+**Scoperte chiave**: tre livelli di query DB coesistenti, pattern Dual Write per traduzioni,
+HTMLBuilder DSL `{[]}` / `{()}`, AuthOSM con 5 metodi di autenticazione,
+pattern "op" per azioni POST, pattern "dir" per documenti bidirezionali.
+
+### ✅ Fase 3 – Documentation & Recommendations
+**Prodotti**: guida onboarding, raccomandazioni prioritizzate (10 items),
+guida completa al codebase con schema DB, pattern reference, helper sheet.
+
+---
+
+## File di analisi generati
+
+```
+analysis/
+├── project-overview.md                           ✅ Fase 1
+├── architecture-analysis.md                      ✅ Fase 1
+├── code-patterns-identified.md                   ✅ Fase 2
+├── comprehensive-codebase-guide.md               ✅ Fase 3
+├── developer-onboarding-guide.md                 ✅ Fase 3
+├── technical-recommendations.md                  ✅ Fase 3
+├── component-deep-dives/
+│   ├── database-layer.md                         ✅ Fase 2
+│   ├── models-and-traits.md                      ✅ Fase 2
+│   ├── htmlbuilder.md                            ✅ Fase 2
+│   └── auth-system.md                            ✅ Fase 2
+└── codebase-analysis-progress.md                 ✅ (questo file)
+```
+
+---
+
+## Raccomandazioni tecniche – top 3
+
+1. **Alta** – Standardizzare le query verso Eloquent/Fluent Builder (abbandonare
+   il pattern `fetchArray('... WHERE id='.prepare($id))` nei nuovi file)
+2. **Alta** – Estrarre la logica SQL da `init.php` nei Model Eloquent
+   (per testabilità e riuso)
+3. **Alta** – Aggiungere test unitari per i componenti core
+   (Database::sync, AuthOSM::validateOTP, HTMLBuilder::decode, Update)
+
+---
+
+## Continuare l'analisi in una nuova chat
+
+> "Continua l'analisi del codebase – leggi
+> `C:\wamp64\www\openstamanager\analysis\codebase-analysis-progress.md`
+> per sapere dove ci siamo fermati, poi prosegui con [argomento specifico]."
+
+Argomenti utili per approfondimenti futuri:
+- Analisi sicurezza (SQL injection, CSRF, XSS)
+- Analisi performance (query N+1, cache)
+- Analisi modulo fatturazione elettronica (XML FE, codice SDI)
+- Documentazione API REST (endpoint disponibili)
+- Analisi sistema di stampa PDF (templates/)