fix(diary): 系统性修复 DTO 输入验证 — 42 项审计发现中输入验证类全部修复

DTO 字段级验证:
- version 字段全部添加 range(min=0) 防止负数
- 标签内容验证: 单个标签最长 30 字符，不允许空白
- 班级码正则: 仅允许字母数字，拒绝特殊字符
- 贴纸包 price 添加 range(min=0) 防止负价格
- thumbnail_url/image_url 添加 length(max=500) 限制
- 同步请求 data payload 限制 1MB/条

Handler validate() 调用补齐:
- delete_journal: DeleteJournalReq 添加 Validate derive + handler 调用
- bind_child / unbind_child / delete_child_data: 补齐 req.validate() 调用
- join_class: 添加 validate_code() 字母数字检查
- sync_journals: 添加 validate_changes_data() payload 大小检查

审计覆盖: 5a-C01/02/03 + 5a-H02/03/04 + B-03 + 7b-C02

crates/erp-diary/src/handler/class_handler.rs

@@ -85,6 +85,7 @@ where
     S: Clone + Send + Sync + 'static,
 {
     req.validate().map_err(|e| AppError::Validation(e.to_string()))?;
+    req.validate_code().map_err(AppError::Validation)?;
     require_permission(&ctx, "diary.journal.create")?;
 
     if req.class_code.trim().is_empty() {