fix: 全面安全审计修复

安全加固：
- 系统配置 API 增加写入 key 白名单，防止任意配置注入
- ADMIN_TOKEN 最小长度要求 16 字符
- 补充安全响应头（X-Content-Type-Options, X-Frame-Options, Referrer-Policy）
- /api/users/[id] 和 /api/limits 增加 token 鉴权
- console.error 敏感信息脱敏（config route）
- 敏感值 mask 修复短值完全隐藏

输入校验：
- admin 渠道接口校验 rate_multiplier > 0、sort_order >= 0、name 非空
- admin 订阅套餐接口校验 price > 0、validity_days > 0、sort_order >= 0

金额精度：
- feeRate 字段精度从 Decimal(5,2) 提升到 Decimal(5,4)
- calculatePayAmount 返回 string 避免 Number 中间转换精度丢失
- 支付宝查询订单增加金额有效性校验（isFinite && > 0）

UI 统一：
- 订阅管理「售卖」列改为 toggle switch 开关（与渠道管理一致）
- 表单中 checkbox 改为 toggle switch
- 列名统一为「启用售卖」，支持直接点击切换

src/lib/order/service.ts

@@ -158,7 +158,8 @@ export async function createOrder(input: CreateOrderInput): Promise<CreateOrderR
   }
 
   const feeRate = getMethodFeeRate(input.paymentType);
-  const payAmount = calculatePayAmount(input.amount, feeRate);
+  const payAmountStr = calculatePayAmount(input.amount, feeRate);
+  const payAmountNum = Number(payAmountStr);
 
   const expiresAt = new Date(Date.now() + env.ORDER_TIMEOUT_MINUTES * 60 * 1000);
   const order = await prisma.$transaction(async (tx) => {
@@ -169,8 +170,8 @@ export async function createOrder(input: CreateOrderInput): Promise<CreateOrderR
         userName: user.username,
         userNotes: user.notes || null,
         amount: new Prisma.Decimal(input.amount.toFixed(2)),
-        payAmount: new Prisma.Decimal(payAmount.toFixed(2)),
-        feeRate: feeRate > 0 ? new Prisma.Decimal(feeRate.toFixed(2)) : null,
+        payAmount: new Prisma.Decimal(payAmountStr),
+        feeRate: feeRate > 0 ? new Prisma.Decimal(feeRate.toFixed(4)) : null,
         rechargeCode: '',
         status: 'PENDING',
         paymentType: input.paymentType,
@@ -213,9 +214,9 @@ export async function createOrder(input: CreateOrderInput): Promise<CreateOrderR
 
     const paymentResult = await provider.createPayment({
       orderId: order.id,
-      amount: payAmount,
+      amount: payAmountNum,
       paymentType: input.paymentType,
-      subject: `${env.PRODUCT_NAME} ${payAmount.toFixed(2)} CNY`,
+      subject: `${env.PRODUCT_NAME} ${payAmountStr} CNY`,
       notifyUrl,
       returnUrl,
       clientIp: input.clientIp,
@@ -249,7 +250,7 @@ export async function createOrder(input: CreateOrderInput): Promise<CreateOrderR
     return {
       orderId: order.id,
       amount: input.amount,
-      payAmount,
+      payAmount: payAmountNum,
       feeRate,
       status: ORDER_STATUS.PENDING,
       paymentType: input.paymentType,