trevor/tg_post_min
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

security features

Browse Source
This commit is contained in:
Andrey K. Choi
2025-08-20 21:53:40 +09:00
parent 745046c638
commit efdafb0efa
5 changed files with 173 additions and 77 deletions
Download Patch File Download Diff File Expand all files Collapse all files

62
app/bot/handlers/add_group.py
View File

@@ -9,6 +9,8 @@ from app.bot.messages import (
NEED_ADD_FIRST,
NO_RIGHTS_CHANNEL,
NO_RIGHTS_GROUP,
ONLY_ADMINS_CAN_BIND,
ALREADY_BOUND,
)
from app.db.session import get_session
from app.db.models import User, Chat
@@ -16,42 +18,26 @@ from .utils import parse_chat_id, verify_and_fetch_chat
STATE_KEY = "await_chat_id"
def _get_forwarded_chat_id(message) -> int | None:
"""
Универсально достаём chat_id источника пересылки.
Поддерживает старые поля (forward_from_chat) и новые (forward_origin.chat).
"""
if not message:
return None
# Старое поле (иногда ещё присутствует)
fwd_chat = getattr(message, "forward_from_chat", None)
if fwd_chat:
return fwd_chat.id
# Новая схема Bot API: forward_origin с типами MessageOrigin*
origin = getattr(message, "forward_origin", None)
if origin:
chat = getattr(origin, "chat", None) # у MessageOriginChat/Channel есть .chat
chat = getattr(origin, "chat", None)
if chat:
return chat.id
return None
async def add_group_cmd(update: Update, ctx: ContextTypes.DEFAULT_TYPE):
# ensure user exists
with get_session() as s:
u = s.query(User).filter_by(tg_id=update.effective_user.id).first()
if not u:
u = User(tg_id=update.effective_user.id, name=update.effective_user.full_name)
s.add(u)
s.commit()
s.add(u); s.commit()
ctx.user_data[STATE_KEY] = True
await update.effective_message.reply_text(ASK_ADD_GROUP, parse_mode=ParseMode.MARKDOWN)
async def add_group_capture(update: Update, ctx: ContextTypes.DEFAULT_TYPE):
if update.effective_chat.type != ChatType.PRIVATE:
return
@@ -59,19 +45,12 @@ async def add_group_capture(update: Update, ctx: ContextTypes.DEFAULT_TYPE):
return
msg = update.effective_message
raw = None
# 1) Пересланное сообщение из чата/канала
fwd_cid = _get_forwarded_chat_id(msg)
if fwd_cid:
raw = fwd_cid
else:
# 2) Ввод в виде текста или подписи (caption)
raw = _get_forwarded_chat_id(msg)
if not raw:
txt = (getattr(msg, "text", None) or getattr(msg, "caption", None) or "").strip()
if not txt:
await msg.reply_text("Вставьте chat_id или перешлите сообщение из группы/канала.")
return
if txt.startswith("@") or "t.me/" in txt:
raw = txt
else:
@@ -81,21 +60,39 @@ async def add_group_capture(update: Update, ctx: ContextTypes.DEFAULT_TYPE):
return
raw = cid
# Проверяем, что бот в чате и что у него есть право постить (если нужно)
# Проверяем наличие бота в чате и его право постить
try:
chat, member, can_post = await verify_and_fetch_chat(ctx, raw)
chat, member_bot, can_post = await verify_and_fetch_chat(ctx, raw)
except BadRequest:
await msg.reply_text("Такого чата не существует или у меня нет доступа. Проверьте chat_id/username.")
return
if member is None:
if member_bot is None:
await msg.reply_text(NEED_ADD_FIRST.format(title_or_id=(chat.title or chat.id)))
return
# Сохраняем привязку
# --- Новое: проверяем, что привязку делает АДМИН этого чата/канала ---
try:
user_member = await ctx.bot.get_chat_member(chat.id, update.effective_user.id)
user_status = getattr(user_member, "status", "")
is_admin = user_status in ("administrator", "creator")
except Exception:
is_admin = False
if not is_admin:
await msg.reply_text(ONLY_ADMINS_CAN_BIND)
return
with get_session() as s:
me = s.query(User).filter_by(tg_id=update.effective_user.id).first()
row = s.query(Chat).filter_by(chat_id=chat.id).first()
# Если уже привязан к другому владельцу — запрещаем
if row and row.owner_user_id and row.owner_user_id != me.id:
await msg.reply_text(ALREADY_BOUND)
ctx.user_data.pop(STATE_KEY, None)
return
if not row:
row = Chat(
chat_id=chat.id,
@@ -108,8 +105,7 @@ async def add_group_capture(update: Update, ctx: ContextTypes.DEFAULT_TYPE):
else:
row.title = chat.title
row.type = chat.type
if row.owner_user_id is None:
row.owner_user_id = me.id
row.owner_user_id = row.owner_user_id or me.id
row.can_post = can_post
s.commit()

34
app/bot/handlers/chat_id_cmd.py Normal file
View File

@@ -0,0 +1,34 @@
import asyncio
from telegram import Update
from telegram.constants import ChatType, ParseMode
from telegram.ext import ContextTypes
TTL_SEC = 20
async def _auto_delete(ctx: ContextTypes.DEFAULT_TYPE, chat_id: int, message_id: int, delay: int = TTL_SEC):
try:
await asyncio.sleep(delay)
await ctx.bot.delete_message(chat_id=chat_id, message_id=message_id)
except Exception:
pass
async def chat_id_cmd(update: Update, ctx: ContextTypes.DEFAULT_TYPE):
chat = update.effective_chat
if chat.type not in (ChatType.GROUP, ChatType.SUPERGROUP, ChatType.CHANNEL):
await update.effective_message.reply_text("Эта команда работает в группе/канале.")
return
# Только админы могут увидеть ID (снижаем риск утечки)
try:
member = await ctx.bot.get_chat_member(chat.id, update.effective_user.id)
if member.status not in ("administrator", "creator"):
return # молча игнорируем для не-админов
except Exception:
return
text = f"ID этого чата: `{chat.id}`\nСообщение удалится через {TTL_SEC} сек."
try:
msg = await update.effective_message.reply_text(text, parse_mode=ParseMode.MARKDOWN)
ctx.application.create_task(_auto_delete(ctx, chat.id, msg.message_id, delay=TTL_SEC))
except Exception:
pass

82
app/bot/handlers/join_info.py
View File

@@ -1,12 +1,27 @@
import asyncio
from telegram import Update
from telegram.constants import ChatMemberStatus, ChatType, ParseMode
from telegram.ext import ContextTypes
from app.bot.messages import JOIN_INFO_GROUP, JOIN_INFO_CHANNEL
from telegram.error import Forbidden
from app.bot.messages import (
JOIN_DM_GROUP, JOIN_DM_CHANNEL, JOIN_PUBLIC_WITH_ID, NEED_START_DM
)
TTL_SEC = 30 # через столько секунд удаляем публичную подсказку
async def _auto_delete(ctx: ContextTypes.DEFAULT_TYPE, chat_id: int, message_id: int, delay: int = TTL_SEC):
try:
await asyncio.sleep(delay)
await ctx.bot.delete_message(chat_id=chat_id, message_id=message_id)
except Exception:
pass
async def on_my_chat_member(update: Update, ctx: ContextTypes.DEFAULT_TYPE):
"""
Сообщаем инструкцию и chat_id, когда бота добавили в группу/канал
или повысили до администратора.
При добавлении/повышении прав.
1) Пробуем DM актёру (my_chat_member.from_user) с chat_id и инструкцией.
2) Если DM не вышел (нет from_user или нет Start/Forbidden) — пишем в чат
подсказку с chat_id и удаляем её через TTL_SEC.
"""
mcm = update.my_chat_member
if not mcm:
@@ -20,32 +35,43 @@ async def on_my_chat_member(update: Update, ctx: ContextTypes.DEFAULT_TYPE):
title = chat.title or str(chat.id)
chat_id = chat.id
# Текст подсказки
if chat.type in (ChatType.GROUP, ChatType.SUPERGROUP):
text = JOIN_INFO_GROUP.format(title=title, chat_id=chat_id)
# Пытаемся написать прямо в группу
# 1) Пытаемся отправить DM тому, кто совершил действие
actor = getattr(mcm, "from_user", None)
dm_sent = False
if actor:
try:
await ctx.bot.send_message(chat_id=chat_id, text=text, parse_mode=ParseMode.MARKDOWN)
except Exception:
# как запасной вариант — в ЛС пользователю, который добавил
if update.effective_user:
try:
await ctx.bot.send_message(update.effective_user.id, text=text, parse_mode=ParseMode.MARKDOWN)
except Exception:
pass
elif chat.type == ChatType.CHANNEL:
text = JOIN_INFO_CHANNEL.format(title=title, chat_id=chat_id)
# В канале можем не иметь права постинга — пробуем ЛС добавившему
sent = False
try:
# если права даны, сообщим прямо в канал
await ctx.bot.send_message(chat_id=chat_id, text=text, parse_mode=ParseMode.MARKDOWN)
sent = True
if chat.type in (ChatType.GROUP, ChatType.SUPERGROUP):
await ctx.bot.send_message(
actor.id, JOIN_DM_GROUP.format(title=title, chat_id=chat_id),
parse_mode=ParseMode.MARKDOWN
)
elif chat.type == ChatType.CHANNEL:
await ctx.bot.send_message(
actor.id, JOIN_DM_CHANNEL.format(title=title, chat_id=chat_id),
parse_mode=ParseMode.MARKDOWN
)
dm_sent = True
except Forbidden:
# пользователь не нажал Start — подсказка про Start
try:
await ctx.bot.send_message(actor.id, NEED_START_DM)
except Exception:
pass
except Exception:
pass
if not sent and update.effective_user:
try:
await ctx.bot.send_message(update.effective_user.id, text=text, parse_mode=ParseMode.MARKDOWN)
except Exception:
pass
if dm_sent:
return
# 2) DM не удался — публикуем в чат краткий хинт с chat_id, удаляем через TTL
# (для каналов сработает только если бот уже админ и может постить)
try:
msg = await ctx.bot.send_message(
chat_id=chat_id,
text=JOIN_PUBLIC_WITH_ID.format(chat_id=chat_id, ttl=TTL_SEC),
parse_mode=ParseMode.MARKDOWN
)
ctx.application.create_task(_auto_delete(ctx, chat_id, msg.message_id, delay=TTL_SEC))
except Exception:
# Если и сюда не можем — увы, остаётся ручной путь: /id, /add_group и ЛС
pass