fix: prevent upload path traversal (C3)

[cola500]

Summary

C3 — sista CRITICAL i Sprint 3-A.

Hardenar /api/upload-routen mot path traversal:

• Fix A: Ext härleds från whitelist image/jpeg → jpg, image/png → png, image/webp → webp, application/pdf → pdf (fallback bin) — INTE från file.name.split(".").pop(). Tidigare kunde file.name = "evil.png/../../../etc/passwd" placera filer utanför bucket-namespace.
• Fix B: Defense-in-depth assertSafeStorageFileName() i supabase-storage.ts (blockerar /, \\, .., \x00, leading dot, tom, >255 chars). Anropas i uploadFile() och i uploadMessageAttachment() (mot leaf, så bucket-segmentet inte påverkas).
• Fix C: Zod z.string().uuid() på entityId — fail-fast 400 "Ogiltigt entityId" innan ownership-check, defense-in-depth innan interpolation i path.

Test plan

• 6 nya unit-tester för assertSafeStorageFileName (H1-H6)
• 5 nya regression-tester i upload/route.test.ts (T1-T5: traversal i file.name, null-byte, MIME-baserad ext, traversal i entityId, non-UUID entityId)
• Befintliga tester uppdaterade till UUID v4 entityIds
• Angränsande tester gröna: native/provider/upload, messages/attachments
• npm run check:all 4/4 gröna (typecheck, test:run, lint, check:swedish)

Out of scope

• V4 — UUID-validering av bookingId i messages/attachments/route.ts (skyddat indirekt av loadBookingForMessaging)
• Sanering av Upload.originalName (ej path-använt; XSS-vektor om framtida vy renderar otrust)
• Hardening av deleteFile/createMessageSignedUrl mot ovaliderad path (idag bara DB-källad)

Sprint 3-A status efter merge

CRITICAL: C4 ✅ • C1 ✅ • C2 ✅ • C3 ✅ — alla 4 åtgärdade.