feat: marketplace, économie à crédits, perks temps réel & pubs réelles

Transforme XIP en réseau social satirique complet : monnaie fictive,
marketplace, cosmétiques visibles de tous, messages riches sandboxés,
pubs pilotées par les données, et tous les compteurs mock rendus réels.

Backend (Bun + Hono + Prisma + Redis)
- Économie par IP : modèles Wallet/Purchase/Entitlement, lib/wallet.ts
  avec spend() atomique (point unique du paywall) + recharge gratuite.
- isLocalhost() → mode gratuit (README « si localhost: pas de paywall »).
- Marketplace : lib/catalog.ts (achat transactionnel, stock limité,
  limites par IP) + routes/shop.ts ; 10 produits seedés (idempotent).
- Perks : lib/perks.ts (cache Redis busté à l'achat) ; authorPerks
  injecté dans les payloads messages + endpoint batch /api/perks ;
  frame WS « perks » global pour MAJ live des messages déjà affichés.
- Messages riches : Message.richMode/richContent, gating par entitlement.
- Pubs réelles : modèle Ad seedé avec les 4 pubs (ex-hardcodées),
  rotation par API, comptage d'impressions réel + réconciliation.
- WebSocket : IP capturée par connexion → broadcastToIp / broadcast ;
  frames wallet/perks/ads/alert.
- Pièces jointes : lib/storage.ts (UUID, jamais exécuté) + routes/uploads.ts
  (limite 1 Mo sauf déblocage/localhost, Content-Disposition: attachment).
- Alerte audio : routes/alert.ts (cooldown serveur Redis NX, clamp durée).
- Compteur « argent extorqué » réel : impressions×CPM + crédits dépensés.

Frontend (Vue 3 + Vite)
- /shop : ShopPage + ProductCard fidèles aux maquettes ; composables
  useWallet/useShop/usePerks/useAds/useAttachments/useAlert.
- UI de réponse (bannière + sous-threads), solde + lien Shop dans le header.
- Perks rendus : Style Doré (or), Pets autour de l'IP, NoAds masque les pubs.
- RichContent.vue : iframe sandbox verrouillée (htmlcss sans script ;
  js allow-scripts seul, jamais allow-same-origin) + CSP.
- AdBand/InlineCasinoAd pilotés par l'API ; barre de saisie avec 📎,
  compteur de caractères, composer riche et bouton alerte.

Infra
- Migration economy_ads_attachments_rich ; seed idempotent (produits+pubs).
- vite.config : usePolling (HMR fiable sur /mnt/c via WSL).
- backend/.gitignore : uploads/.

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>

backend/src/lib/storage.ts

@@ -0,0 +1,48 @@
+import { mkdir } from "node:fs/promises";
+import { resolve, extname } from "node:path";
+
+/**
+ * Filesystem storage for uploads, under backend/uploads/.
+ * Files are stored under a UUID-prefixed name so a malicious client filename
+ * can never traverse paths or overwrite another file. The raw bytes are never
+ * executed server-side — we only ever read them back to serve downloads.
+ */
+
+const UPLOADS_DIR = resolve(import.meta.dir, "../../uploads");
+
+let ensured = false;
+async function ensureDir(): Promise<void> {
+  if (ensured) return;
+  await mkdir(UPLOADS_DIR, { recursive: true });
+  ensured = true;
+}
+
+/** Keep only a safe, short suffix of the original name for readability. */
+function safeSuffix(filename: string): string {
+  const ext = extname(filename).slice(0, 12).replace(/[^a-zA-Z0-9.]/g, "");
+  return ext || "";
+}
+
+export interface StoredFile {
+  storagePath: string; // relative name under uploads/
+  absolutePath: string;
+}
+
+/** Persist a File/Blob, returning its storage path. id should be a fresh uuid. */
+export async function storeFile(id: string, file: File): Promise<StoredFile> {
+  await ensureDir();
+  const name = `${id}${safeSuffix(file.name)}`;
+  const absolutePath = resolve(UPLOADS_DIR, name);
+  // Extra guard: the resolved path must stay inside UPLOADS_DIR.
+  if (!absolutePath.startsWith(UPLOADS_DIR)) {
+    throw new Error("Invalid storage path");
+  }
+  await Bun.write(absolutePath, file);
+  return { storagePath: name, absolutePath };
+}
+
+export function absolutePathFor(storagePath: string): string {
+  const abs = resolve(UPLOADS_DIR, storagePath);
+  if (!abs.startsWith(UPLOADS_DIR)) throw new Error("Invalid storage path");
+  return abs;
+}