PrenoTaglio — Documentazione Tecnica

1

Panoramica progetto

Nome progetto

PrenoTaglio

Tipo

PWA Multi-Tenant

Hosting

Hostinger Shared

Stack Backend

PHP 8.x + MySQL

Stack Frontend

Vue 3 CDN + Tailwind CDN

Database

u568594947_prenotataglio

ℹ️

URL Applicazione https://prenotataglio.mydigitaltools.it

Descrizione

PrenoTaglio è una Progressive Web App multi-tenant per la gestione delle prenotazioni di saloni parrucchieri. Ogni salone (tenant) ha un proprio slug, una propria pagina di prenotazione pubblica per i clienti e un pannello di amministrazione dedicato. L'intera applicazione gira su hosting condiviso Hostinger senza necessità di Node.js o WebSocket.

Architettura multi-tenant

Il sistema supporta più saloni sulla stessa installazione. Ogni tenant è identificato dal proprio slug univoco nella URL. La risoluzione del tenant avviene lato PHP tramite il file tenant.php prima di ogni request.

2

Struttura file sul server

I file sono organizzati in due posizioni distinte: gli include (file PHP sensibili fuori dalla webroot) e il public_html (file accessibili via web).

Albero directory

/domains/mydigitaltools.it/
├── include/
│   └── prenotataglio/
│       ├── config.php          ← credenziali DB, JWT secret, costanti app
│       ├── db.php              ← PDO singleton connection
│       ├── jwt.php             ← implementazione JWT HS256
│       ├── auth.php            ← middleware autenticazione
│       ├── functions.php       ← helper (uuid, jsonResponse, generateSlots, ecc.)
│       └── tenant.php          ← risoluzione tenant da slug
└── public_html/
    └── prenotataglio/          ← document root sottodominio
        ├── .htaccess           ← URL rewriting + sicurezza
        ├── bootstrap.php       ← carica tutti gli include
        ├── index.php           ← entry point cliente SPA
        ├── manifest.php        ← PWA manifest dinamico (cliente)
        ├── sw.js               ← Service Worker
        ├── offline.html        ← fallback offline
        ├── install.sql         ← schema DB (DA ELIMINARE dopo import)
        ├── api/
        │   ├── .htaccess
        │   ├── auth/
        │   │   ├── register.php
        │   │   ├── login.php
        │   │   ├── logout.php
        │   │   ├── refresh.php
        │   │   ├── admin-login.php
        │   │   ├── admin-logout.php
        │   │   └── admin-refresh.php
        │   ├── servizi.php
        │   ├── disponibilita.php
        │   ├── prenotazioni.php
        │   └── admin/
        │       ├── dashboard.php
        │       ├── servizi.php
        │       ├── orari.php
        │       ├── chiusure.php
        │       ├── prenotazioni.php
        │       ├── operatori.php
        │       ├── clienti.php
        │       └── tenants.php
        ├── admin/
        │   ├── index.php       ← admin SPA
        │   └── manifest.php    ← PWA manifest dinamico (admin)
        ├── setup/
        │   └── index.php       ← wizard primo setup (DA ELIMINARE dopo uso)
        └── assets/
            ├── css/
            │   ├── app.css
            │   └── admin.css
            ├── js/
            │   ├── app.js
            │   ├── booking.js
            │   └── admin.js
            ├── img/
            │   ├── generate-icons.php  ← DA ELIMINARE dopo uso
            │   ├── icon-192.png
            │   └── icon-512.png
            └── uploads/
                └── servizi/    ← foto servizi caricati

⚠️

File da eliminare dopo il deploy I file evidenziati in arancione (setup/, install.sql, generate-icons.php) devono essere eliminati dal server dopo l'uso per ragioni di sicurezza.

3

Schema Database

Database: u568594947_prenotataglio — Utente MySQL: u568594947_prenotataglio

Tabella: `tenants`

Colonna	Tipo	Note
id	CHAR(36)	UUID, PRIMARY KEY
slug	VARCHAR(50)	UNIQUE — usato nelle URL (es. elite-parrucchieri)
nome	VARCHAR(150)	Nome visualizzato del salone
email	VARCHAR(150)	Email di contatto
telefono	VARCHAR(20)	Numero di telefono
indirizzo	TEXT	Indirizzo fisico
colore_primario	VARCHAR(7)	Hex colore tema (es. #1a1a2e)
colore_secondario	VARCHAR(7)	Hex colore secondario
logo_url	VARCHAR(255)	Percorso logo caricato
piano	ENUM	'base', 'pro', 'enterprise'
attivo	TINYINT(1)	1=attivo, 0=disabilitato
created_at	DATETIME	Data creazione

Tabella: `admin_users`

Colonna	Tipo	Note
id	CHAR(36)	UUID, PRIMARY KEY
tenant_id	CHAR(36)	FK → tenants.id
nome	VARCHAR(100)
cognome	VARCHAR(100)
email	VARCHAR(150)	UNIQUE per tenant
password_hash	VARCHAR(255)	Argon2ID hash
role	ENUM	'superadmin', 'admin', 'operatore'
attivo	TINYINT(1)
created_at	DATETIME

Tabella: `clienti`

Colonna	Tipo	Note
id	CHAR(36)	UUID, PRIMARY KEY
tenant_id	CHAR(36)	FK → tenants.id
nome	VARCHAR(100)
cognome	VARCHAR(100)
email	VARCHAR(150)	UNIQUE per tenant
telefono	VARCHAR(20)
password_hash	VARCHAR(255)	Argon2ID hash
attivo	TINYINT(1)
created_at	DATETIME

Tabella: `operatori`

Colonna	Tipo	Note
id	CHAR(36)	UUID, PRIMARY KEY
tenant_id	CHAR(36)	FK → tenants.id
nome	VARCHAR(100)
cognome	VARCHAR(100)
colore	VARCHAR(7)	Colore hex per calendario
attivo	TINYINT(1)
created_at	DATETIME

Tabella: `servizi`

Colonna	Tipo	Note
id	CHAR(36)	UUID, PRIMARY KEY
tenant_id	CHAR(36)	FK → tenants.id
nome	VARCHAR(150)	Nome del servizio
descrizione	TEXT
durata_minuti	INT	Durata in minuti (es. 30, 45, 60)
prezzo	DECIMAL(8,2)	Prezzo in euro
foto_url	VARCHAR(255)	Percorso foto in uploads/servizi/
attivo	TINYINT(1)
ordinamento	INT	Ordine visualizzazione
created_at	DATETIME

Tabella: `config_orari`

Orari di apertura per giorno della settimana. 0 = Domenica, 1 = Lunedì, ..., 6 = Sabato (convenzione PHP/MySQL DAYOFWEEK).

Colonna	Tipo	Note
id	CHAR(36)	UUID, PRIMARY KEY
tenant_id	CHAR(36)	FK → tenants.id
giorno_settimana	TINYINT	0=Dom, 1=Lun, 2=Mar, 3=Mer, 4=Gio, 5=Ven, 6=Sab
aperto	TINYINT(1)	1=aperto, 0=chiuso
ora_apertura	TIME	Es. 09:00:00
ora_chiusura	TIME	Es. 18:00:00
durata_slot	INT	Minuti per slot (es. 20, 30)
created_at	DATETIME

Tabella: `chiusure`

Colonna	Tipo	Note
id	CHAR(36)	UUID, PRIMARY KEY
tenant_id	CHAR(36)	FK → tenants.id
data_inizio	DATE	Inizio periodo chiusura
data_fine	DATE	Fine periodo chiusura
motivo	VARCHAR(255)	Descrizione (es. "Ferie agosto")
created_at	DATETIME

Tabella: `prenotazioni`

Colonna	Tipo	Note
id	CHAR(36)	UUID, PRIMARY KEY
tenant_id	CHAR(36)	FK → tenants.id
cliente_id	CHAR(36)	FK → clienti.id
servizio_id	CHAR(36)	FK → servizi.id
operatore_id	CHAR(36)	FK → operatori.id (nullable)
data_ora	DATETIME	Data e ora appuntamento
durata_minuti	INT	Snapshot durata al momento prenotazione
prezzo	DECIMAL(8,2)	Snapshot prezzo al momento prenotazione
stato	ENUM	'in_attesa', 'confermata', 'annullata', 'completata'
note	TEXT	Note del cliente
created_at	DATETIME

Tabella: `sessioni` e `sessioni_admin`

Refresh token per clienti e admin rispettivamente. Stessa struttura:

Colonna	Tipo	Note
id	CHAR(36)	UUID, PRIMARY KEY
utente_id	CHAR(36)	FK → clienti.id oppure admin_users.id
tenant_id	CHAR(36)	FK → tenants.id
refresh_token	VARCHAR(255)	Token SHA256 opaco
scadenza	DATETIME	Scadenza refresh token (default 30 giorni)
ip	VARCHAR(45)	IP client al momento del login
user_agent	TEXT	Browser/device
created_at	DATETIME

4

Setup iniziale passo per passo

Creare il sottodominio in hPanel

Accedi a hPanel → Domains → Subdomains e crea:

Campo	Valore
Sottodominio	`prenotataglio`
Dominio base	`mydigitaltools.it`
Document Root	`domains/mydigitaltools.it/public_html/prenotataglio`

ℹ️

La propagazione DNS può richiedere fino a 24 ore, ma di solito è questione di minuti su Hostinger.

Configurare config.php

Modifica il file /domains/mydigitaltools.it/include/prenotataglio/config.php:

PHP

<?php
// Database
define('DB_HOST', 'localhost');
define('DB_NAME', 'u568594947_prenotataglio');
define('DB_USER', 'u568594947_prenotataglio');
define('DB_PASS', 'LA_TUA_PASSWORD');

// Sicurezza
define('JWT_SECRET', 'stringa-random-64-chars-cambia-con-valore-sicuro');

// App
define('APP_URL', 'https://prenotataglio.mydigitaltools.it');
define('APP_ENV', 'production');

// JWT durata
define('JWT_EXPIRE', 900);        // 15 minuti access token
define('REFRESH_EXPIRE', 2592000); // 30 giorni refresh token

🔴

Non committare mai questo file! Contiene credenziali sensibili. Il file è fuori dalla webroot proprio per sicurezza.

Caricare i file sul server

Usa il File Manager di hPanel o un client FTP (FileZilla, WinSCP):

Cartella locale	Destinazione server
`include/prenotataglio/`	`/domains/mydigitaltools.it/include/prenotataglio/`
`public_html/prenotataglio/`	`/domains/mydigitaltools.it/public_html/prenotataglio/`

ℹ️

Assicurati che la cartella assets/uploads/servizi/ abbia permessi 755 per consentire l'upload delle foto.

Importare il database

Vai su hPanel → Databases → phpMyAdmin
Seleziona il database u568594947_prenotataglio
Clicca su Importa nella barra superiore
Scegli il file install.sql
Clicca Esegui

⚠️

Dopo l'import, elimina o rendi inaccessibile install.sql. L'.htaccess lo blocca già, ma è preferibile rimuoverlo fisicamente.

Generare le icone PWA

Visita questo URL nel browser per generare automaticamente le icone icon-192.png e icon-512.png:

URL

https://prenotataglio.mydigitaltools.it/assets/img/generate-icons.php

🔴

Elimina subito dopo! Rimuovi assets/img/generate-icons.php dal server non appena le icone sono state generate.

Setup primo tenant (wizard)

Visita l'URL del wizard di setup per creare il primo salone:

URL

https://prenotataglio.mydigitaltools.it/setup/

Il wizard creerà automaticamente il tenant, l'admin e gli orari di default.

🔴

Elimina la cartella setup/ dopo l'uso! Lasciarla accessibile è un grave rischio di sicurezza.

Verificare il file .htaccess

Il file .htaccess nella root del sottodominio deve contenere:

Apache .htaccess

Options -Indexes
RewriteEngine On
RewriteBase /

# Blocca accesso a file sensibili
RewriteRule ^bootstrap\.php$ - [F,L]
RewriteRule ^install\.sql$ - [F,L]

# Servi file e directory esistenti direttamente
RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ - [L]

# Cartelle di sistema — non trattare come slug tenant
RewriteRule ^(api|assets|setup|offline\.html|manifest\.json|manifest\.php|sw\.js)(.*)?$ - [L]

# Admin tenant: /{slug}/admin
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([a-z0-9_-]+)/admin(/.*)?$ admin/index.php?tenant=$1 [QSA,L]

# Homepage tenant: /{slug}/
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([a-z0-9_-]+)/?$ index.php?tenant=$1 [QSA,L]

# Sottopagine tenant: /{slug}/{path}
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([a-z0-9_-]+)/(.+)$ index.php?tenant=$1&path=$2 [QSA,L]

5

URL e Routing

URL	Destinazione PHP	Descrizione
`prenotataglio.mydigitaltools.it/`	index.php (no tenant)	Landing page — lista saloni attivi
`prenotataglio.mydigitaltools.it/{slug}/`	index.php?tenant={slug}	SPA prenotazione cliente
`prenotataglio.mydigitaltools.it/{slug}/admin`	admin/index.php?tenant={slug}	Pannello admin del salone
`prenotataglio.mydigitaltools.it/api/...`	api/... (diretto)	REST API — non rewrittata
`prenotataglio.mydigitaltools.it/sw.js`	sw.js (diretto)	Service Worker
`prenotataglio.mydigitaltools.it/{slug}/manifest.json`	manifest.php?tenant={slug}	PWA Manifest cliente dinamico
`prenotataglio.mydigitaltools.it/{slug}/admin/manifest.json`	admin/manifest.php?tenant={slug}	PWA Manifest admin dinamico

ℹ️

Esempio con il tenant "elite-parrucchieri" Cliente: prenotataglio.mydigitaltools.it/elite-parrucchieri/ — Admin: prenotataglio.mydigitaltools.it/elite-parrucchieri/admin

6

API Endpoints

Auth Cliente

POST/api/auth/register.phpRegistrazione nuovo cliente

POST/api/auth/login.phpLogin — ritorna JWT access + refresh cookie

POST/api/auth/logout.phpLogout — invalida sessione

POST/api/auth/refresh.phpRinnova JWT access token tramite refresh cookie

Auth Admin

POST/api/auth/admin-login.phpLogin admin — ritorna JWT admin

POST/api/auth/admin-logout.phpLogout admin

POST/api/auth/admin-refresh.phpRinnova JWT admin

Endpoint Pubblici Cliente

GET/api/servizi.php?tenant_slug={slug}Lista servizi attivi del salone

GET/api/disponibilita.php?tenant_slug={slug}&data=YYYY-MM-DD&servizio_id={id}Slot disponibili per una data e servizio

Prenotazioni Cliente (autenticato)

GET/api/prenotazioni.phpLista prenotazioni del cliente loggato

POST/api/prenotazioni.phpCrea nuova prenotazione

DEL/api/prenotazioni.php?id={uuid}Annulla prenotazione

Admin — Dashboard

GET/api/admin/dashboard.php?tenant_slug={slug}Statistiche: prenotazioni oggi, settimana, stati

Admin — Servizi

GET/api/admin/servizi.phpLista tutti i servizi

POST/api/admin/servizi.phpCrea nuovo servizio

PUT/api/admin/servizi.php?id={uuid}Modifica servizio

DEL/api/admin/servizi.php?id={uuid}Elimina servizio

Admin — Orari

GET/api/admin/orari.phpLeggi orari settimanali

PUT/api/admin/orari.phpSalva orari settimanali (body: array 7 giorni)

Admin — Chiusure

GET/api/admin/chiusure.phpLista periodi di chiusura

POST/api/admin/chiusure.phpAggiungi periodo chiusura

DEL/api/admin/chiusure.php?id={uuid}Rimuovi chiusura

Admin — Prenotazioni

GET/api/admin/prenotazioni.phpLista prenotazioni con filtri (data, stato, operatore)

PATCH/api/admin/prenotazioni.php?id={uuid}Cambia stato prenotazione

DEL/api/admin/prenotazioni.php?id={uuid}Elimina prenotazione

Admin — Operatori

GET/api/admin/operatori.phpLista operatori

POST/api/admin/operatori.phpCrea operatore

PUT/api/admin/operatori.php?id={uuid}Modifica operatore

DEL/api/admin/operatori.php?id={uuid}Elimina operatore

Admin — Clienti

GET/api/admin/clienti.phpLista clienti registrati del tenant

7

PWA — Dettagli implementazione

Due PWA installabili separatamente

La stessa origine serve due app installabili: una per il cliente e una per l'admin di ogni salone. Questo è possibile grazie ai campi id e scope nel manifest.

PWA	id	scope	start_url
Cliente	`/pwa/client/{slug}`	`/{slug}/`	`/{slug}/`
Admin	`/pwa/admin/{slug}`	`/{slug}/admin`	`/{slug}/admin`

ℹ️

Perché ID separati? I browser usano il campo id del manifest per identificare univocamente una PWA. Senza ID diversi, lo stesso browser non permetterebbe di installare sia l'app cliente che quella admin dallo stesso dominio. Con scope diversi e ID univoci, entrambe possono essere installate e apparse come app separate nel launcher del dispositivo.

Manifest dinamico (manifest.php)

I manifest sono generati dinamicamente da PHP perché devono includere il nome del salone, i colori del tema e gli ID specifici per ogni tenant. Vengono serviti con header Content-Type: application/manifest+json.

Service Worker (sw.js) — Strategie di cache

Risorsa	Strategia	Note
HTML/CSS/JS app shell	Cache First	Aggiornato a ogni nuovo deploy
Immagini	Cache First	TTL 30 giorni
Chiamate API (`/api/...`)	Network Only	Dati sempre freschi
Offline fallback	—	Serve offline.html se rete non disponibile

✅

PWA installabile su iOS e Android Grazie a manifest valido, Service Worker registrato e HTTPS, l'app può essere installata come app nativa su qualsiasi dispositivo moderno.

8

Real-time polling admin

ℹ️

Perché polling invece di WebSocket? Hostinger shared hosting non supporta connessioni WebSocket persistenti. Il polling ogni 20 secondi offre un buon compromesso tra reattività e carico server.

Implementazione

Il pannello admin usa setInterval da 20 secondi per aggiornare i dati silenziosamente senza ricaricare la pagina.

Componenti con polling attivo

Componente Vue	Azione al poll
AdminDashboard	Rileva nuove prenotazioni, mostra toast notifica
AdminCalendario	Chiama `calendar.refetchEvents()`
AdminPrenotazioni	Aggiorna lista silenziosamente (senza loader)

Change detection via signature

JavaScript

// Genera una firma stringa dalla lista prenotazioni
// Se la firma cambia → ci sono nuove prenotazioni o cambi di stato
_signature(list) {
  return list.map(p => p.id + '|' + p.stato).join(',');
}

Toast notification system

Il sistema di notifiche usa un array adminStore.toasts[] reattivo in Pinia/Vue.

JavaScript

// Mostra un toast — tipo: 'success' | 'error' | 'info' | 'warning'
adminStore.showToast(message, type, duration)

// Esempio — nuova prenotazione rilevata dal polling
if (currentSig !== this.lastSignature) {
  adminStore.showToast('Nuova prenotazione ricevuta!', 'success', 4000);
  this.lastSignature = currentSig;
}

Live indicator

Nel topbar del pannello admin è presente un pallino verde pulsante con la scritta LIVE che indica che il polling è attivo. Si colora di rosso e mostra OFFLINE in caso di errore di rete.

9

Bug risolti durante lo sviluppo

Bug 1: .htaccess catturava assets/ come slug tenant

Sintomo: Le richieste a /assets/css/app.css venivano reindirizzate a index.php?tenant=assets invece di servire il file CSS.

Causa: In Apache, le direttive RewriteCond si applicano solo alla RewriteRule immediatamente successiva. Le condizioni !-f e !-d scritte una volta prima di più RewriteRule non proteggevano tutte le regole seguenti.

Soluzione: Aggiunta una regola esplicita per tutte le cartelle di sistema prima delle regole tenant, e le condizioni RewriteCond sono state ripetute prima di ogni RewriteRule che ne ha bisogno.

Apache — Fix

# Questa regola esplicita protegge le cartelle di sistema
RewriteRule ^(api|assets|setup|offline\.html|manifest\.json|manifest\.php|sw\.js)(.*)?$ - [L]

# Le RewriteCond devono essere ripetute per OGNI RewriteRule che ne ha bisogno
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^([a-z0-9_-]+)/admin(/.*)?$ admin/index.php?tenant=$1 [QSA,L]

✓ Risolto

Bug 2: Calendario tutto occupato (nessuno slot disponibile)

Sintomo: L'API /api/disponibilita.php restituiva sempre zero slot liberi, anche per giorni senza prenotazioni.

Causa: SQLSTATE[HY093] Invalid parameter number — con PDO e ATTR_EMULATE_PREPARES = false, lo stesso named parameter (es. :data) non può essere usato più di una volta nella stessa query preparata.

PHP — Query errata

-- ERRATO: :data usato due volte
WHERE data_inizio <= :data AND data_fine >= :data

PHP — Query corretta

-- CORRETTO: parametri con nomi distinti
WHERE data_inizio <= :data1 AND data_fine >= :data2

// Binding PHP
$stmt->execute([':data1' => $data, ':data2' => $data]);

✓ Risolto

Bug 3: PWA admin e cliente in conflitto sullo stesso device

Sintomo: Impossibile installare sia la PWA cliente che quella admin sullo stesso dispositivo. Il browser mostrava un solo prompt di installazione, o sovrascriveva quella già installata.

Causa: Entrambi i manifest usavano "scope": "/" e non avevano il campo id esplicito. Il browser le considerava la stessa app.

Soluzione: Scope diversi per le due PWA e campo id univoco per ogni combinazione tenant/tipo:

PHP — manifest.php cliente

"id": "/pwa/client/",
"scope": "//",
"start_url": "//"

PHP — manifest.php admin

"id": "/pwa/admin/",
"scope": "//admin",
"start_url": "//admin"

✓ Risolto

10

Aggiungere un nuovo tenant

Per aggiungere un nuovo salone al sistema, esegui queste query in phpMyAdmin sul database u568594947_prenotataglio.

⚠️

Prima genera l'hash della password! Vedi la sezione 11 per generare l'hash Argon2ID. Non inserire mai la password in chiaro nel database.

SQL — Nuovo tenant completo

-- 1. Inserisci il tenant
INSERT INTO tenants (id, slug, nome, email, colore_primario, colore_secondario, piano, attivo, created_at)
VALUES (UUID(), 'nuovo-salone', 'Nome Salone', 'email@salone.it', '#1a1a2e', '#16213e', 'base', 1, NOW());

-- 2. Recupera l'ID appena creato
SELECT id FROM tenants WHERE slug = 'nuovo-salone';

-- 3. Crea l'admin del tenant (sostituisci ID-DEL-TENANT con il valore del passo 2)
INSERT INTO admin_users (id, tenant_id, nome, cognome, email, password_hash, role, attivo, created_at)
VALUES (UUID(), 'ID-DEL-TENANT', 'Nome', 'Cognome', 'admin@salone.it', '$2y$10$...', 'admin', 1, NOW());

-- 4. Inserisci orari default (0=Dom, 1=Lun, 2=Mar, 3=Mer, 4=Gio, 5=Ven, 6=Sab)
INSERT INTO config_orari (id, tenant_id, giorno_settimana, aperto, ora_apertura, ora_chiusura, durata_slot, created_at)
VALUES
(UUID(), 'ID-DEL-TENANT', 0, 0, '09:00:00', '18:00:00', 20, NOW()),  -- Dom: chiuso
(UUID(), 'ID-DEL-TENANT', 1, 1, '09:00:00', '18:00:00', 20, NOW()),  -- Lun: aperto
(UUID(), 'ID-DEL-TENANT', 2, 1, '09:00:00', '18:00:00', 20, NOW()),  -- Mar: aperto
(UUID(), 'ID-DEL-TENANT', 3, 1, '09:00:00', '18:00:00', 20, NOW()),  -- Mer: aperto
(UUID(), 'ID-DEL-TENANT', 4, 1, '09:00:00', '18:00:00', 20, NOW()),  -- Gio: aperto
(UUID(), 'ID-DEL-TENANT', 5, 1, '09:00:00', '18:00:00', 20, NOW()),  -- Ven: aperto
(UUID(), 'ID-DEL-TENANT', 6, 0, '09:00:00', '13:00:00', 20, NOW());  -- Sab: chiuso

11

Generare una password hash PHP

Per creare la password_hash da inserire nel database, crea un file PHP temporaneo sul server:

PHP — hashgen.php (temporaneo)

<?php
// 1. Carica questo file sul server come hashgen.php
// 2. Visitalo nel browser
// 3. Copia l'hash generato
// 4. ELIMINA subito questo file!

echo password_hash('LA_PASSWORD_DESIDERATA', PASSWORD_ARGON2ID);

🔴

Elimina immediatamente questo file dopo l'uso! Non lasciarlo accessibile sul server, anche se non contiene la password in chiaro — potrebbe essere usato per generare hash arbitrari.

ℹ️

Perché Argon2ID? Argon2ID è l'algoritmo di hashing password raccomandato da OWASP. È memory-hard e resistente ad attacchi con GPU e ASIC. PHP lo supporta nativamente dalla versione 7.3.

12

Manutenzione

Pulizia sessioni scadute

Da eseguire periodicamente in phpMyAdmin per evitare che la tabella sessioni cresca indefinitamente:

SQL — Pulizia sessioni

DELETE FROM sessioni WHERE scadenza < NOW();
DELETE FROM sessioni_admin WHERE scadenza < NOW();

Backup database

Vai su hPanel → Databases → phpMyAdmin
Seleziona il database u568594947_prenotataglio
Clicca Esporta nella barra superiore
Formato: SQL, Metodo: Veloce
Clicca Esegui — scarica il file .sql

ℹ️

Hostinger offre anche backup automatici nel piano. Verifica che siano attivi in hPanel → Backups.

Cambio password admin

Prima genera il nuovo hash (sezione 11), poi esegui:

SQL — Cambio password

UPDATE admin_users
SET password_hash = '$2y$10$...'  -- incolla qui il nuovo hash
WHERE email = 'admin@salone.it'
  AND tenant_id = 'ID-TENANT';  -- sicurezza: limita al tenant corretto

Verificare le prenotazioni del giorno

SQL — Prenotazioni odierne

SELECT
  p.data_ora,
  p.stato,
  p.prezzo,
  CONCAT(c.nome, ' ', c.cognome) AS cliente,
  c.telefono,
  s.nome AS servizio,
  s.durata_minuti,
  CONCAT(o.nome, ' ', o.cognome) AS operatore
FROM prenotazioni p
JOIN clienti c ON p.cliente_id = c.id
JOIN servizi s ON p.servizio_id = s.id
LEFT JOIN operatori o ON p.operatore_id = o.id
WHERE DATE(p.data_ora) = CURDATE()
  AND p.tenant_id = 'ID-TENANT'
  AND p.stato = 'confermata'
ORDER BY p.data_ora ASC;

13

Checklist sicurezza post-deploy

Dopo aver completato il deploy, verifica tutti i punti seguenti. Clicca sulle caselle per segnarle come completate.

🔴

Non trascurare questa checklist! I punti non completati rappresentano vulnerabilità di sicurezza attive.

Eliminata la cartella setup/ dal server
Eliminato il file assets/img/generate-icons.php
Eliminato o reso inaccessibile install.sql (l'.htaccess lo blocca ma è meglio rimuoverlo)
APP_ENV = 'production' impostato in config.php
JWT_SECRET cambiato con una stringa random sicura di 64+ caratteri
Password database robusta (min. 16 caratteri, misto maiuscole/minuscole/numeri/simboli)
.htaccess nega esplicitamente accesso a bootstrap.php e install.sql
HTTPS attivo e certificato SSL valido (Let's Encrypt su Hostinger è gratuito)
La cartella include/prenotataglio/ è fuori dalla webroot
Testato il login admin e il flusso completo di prenotazione cliente
Verificato che le notifiche toast del polling admin funzionino
PWA installata su almeno un dispositivo mobile per test

14

Link utili

Risorsa	URL
App cliente (Elite Parrucchieri)	https://prenotataglio.mydigitaltools.it/elite-parrucchieri/
Pannello admin (Elite Parrucchieri)	https://prenotataglio.mydigitaltools.it/elite-parrucchieri/admin
hPanel Hostinger	https://hpanel.hostinger.com
phpMyAdmin	Accessibile da hPanel → Databases → phpMyAdmin
File Manager	Accessibile da hPanel → Files → File Manager

✅

Documentazione completa! Tutti i componenti del progetto PrenoTaglio sono documentati. Per aggiornamenti o modifiche future, aggiorna questo file di conseguenza.

Panoramica progetto

Descrizione

Architettura multi-tenant

Struttura file sul server

Schema Database

Tabella: tenants

Tabella: admin_users

Tabella: clienti

Tabella: operatori

Tabella: servizi

Tabella: config_orari

Tabella: chiusure

Tabella: prenotazioni

Tabella: sessioni e sessioni_admin

Setup iniziale passo per passo

Creare il sottodominio in hPanel

Configurare config.php

Caricare i file sul server

Importare il database

Generare le icone PWA

Setup primo tenant (wizard)

Verificare il file .htaccess

URL e Routing

API Endpoints

Auth Cliente

Auth Admin

Endpoint Pubblici Cliente

Prenotazioni Cliente (autenticato)

Admin — Dashboard

Admin — Servizi

Admin — Orari

Admin — Chiusure

Admin — Prenotazioni

Admin — Operatori

Admin — Clienti

PWA — Dettagli implementazione

Due PWA installabili separatamente

Manifest dinamico (manifest.php)

Service Worker (sw.js) — Strategie di cache

Real-time polling admin

Implementazione

Componenti con polling attivo

Change detection via signature

Toast notification system

Live indicator

Bug risolti durante lo sviluppo

Bug 1: .htaccess catturava assets/ come slug tenant

Bug 2: Calendario tutto occupato (nessuno slot disponibile)

Bug 3: PWA admin e cliente in conflitto sullo stesso device

Aggiungere un nuovo tenant

Generare una password hash PHP

Manutenzione

Pulizia sessioni scadute

Backup database

Cambio password admin

Verificare le prenotazioni del giorno

Checklist sicurezza post-deploy

Link utili

Tabella: `tenants`

Tabella: `admin_users`

Tabella: `clienti`

Tabella: `operatori`

Tabella: `servizi`

Tabella: `config_orari`

Tabella: `chiusure`

Tabella: `prenotazioni`

Tabella: `sessioni` e `sessioni_admin`