# Security

مرجع اصلی: `PLAN.md` بخش Security.

قوانین نهایی:

- Laravel session auth برای dashboard
- Sanctum/JWT فقط برای API/mobile آینده
- CSRF برای فرم‌ها
- SQL injection protection با ORM/Query Builder
- XSS protection در React/Blade shell
- session hijacking defense
- audit logs
- school scope isolation
- module entitlement check
- permission dependency check
- no private dashboard cache
- secure upload/download
