council(draft): resolve plan.md conflict, merge backend-reviewer + pm-reviewer plans

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>

plan.md

@@ -1,9 +1,54 @@
-# plan.md — backend-reviewer Round 1
+# plan.md — Council Multi-Agent Plan (Merged)
+
+> Shared by all agents: arch-reviewer, backend-reviewer, ticket-reviewer, pm-reviewer
+
+---
+
+# PM Reviewer Section
+
+## 角色
+📋 **pm-reviewer**：项目经理
+
+## 负责文档
+docs/04_IMPLEMENTATION_ROADMAP.md、docs/DEPLOYMENT.md、docs/05_AI_PARTICIPATION.md
+
+## 文档评审任务清单
+- [ ] 评审 docs/04_IMPLEMENTATION_ROADMAP.md（Agent 分工与开发计划）
+- [ ] 评审 docs/DEPLOYMENT.md（Docker 部署方案）
+- [ ] 评审 docs/05_AI_PARTICIPATION.md（AI 参与可行性分析）
+- [ ] 撰写 `reviews/pm-reviewer-on-docs.md`（结构化评审报告）
+- [ ] 投票：是否可以开始编码
+
+## Phase 分解
+### Phase 1 — Draft
+- 读取并分析上述三份文档
+- 识别问题并撰写结构化评审报告
+- 将评审报告提交到 main
+
+### Phase 2 — Review
+- 等待其他 Agent 的评审结果
+- 整合反馈，更新评审结论
+- 投票是否可以开始编码
+
+### Phase 3 — Finalize
+- 汇总最终投票结果并更新 plan.md
+- 若全员同意，则标记 `[CONSENSUS: YES]`
+
+## Claim 状态
+- [ ] 评审 docs/04_IMPLEMENTATION_ROADMAP.md — `[Claimed: council/pm-reviewer]`
+- [ ] 评审 docs/DEPLOYMENT.md — `[Claimed: council/pm-reviewer]`
+- [ ] 评审 docs/05_AI_PARTICIPATION.md — `[Claimed: council/pm-reviewer]`
+- [ ] 撰写 reviews/pm-reviewer-on-docs.md — `[Claimed: council/pm-reviewer]`
+
+---
+
+# Backend Reviewer Section
 
 ## 角色
 🔐 **backend-reviewer**：数据库与后端安全专家
 
----
+## 负责文档
+docs/01_SHOPXO_TECHNICAL_RESEARCH.md（SQL 设计 + 安全审查）
 
 ## 文档评审结论（docs/01_SHOPXO_TECHNICAL_RESEARCH.md）
 
@@ -23,17 +68,14 @@
 
 | 检查项 | 结论 | 说明 |
 |---|---|---|
-| SQL 注入防御 | ✅ 通过 | 使用 ThinkPHP Db 类自动绑定参数，未发现拼接 SQL |
+| SQL 注入防御 | ✅ 通过 | ThinkPHP Db 类自动绑定参数，无拼接 SQL |
 | BuyService 原子扣库存 | ✅ 通过 | WHERE inventory >= N + dec() 原子操作，事务回滚机制安全 |
 | QR 码生成逻辑 | ⚠️ 需补充 | base64 编码方式安全，但未分析：QR payload 是否含 PII、暴力枚举风险 |
 | 核销码可预测性 | ⚠️ 未分析 | sxo_order_extraction_code 的 code 字段生成算法未知 |
 | 订单扩展字段安全 | ⚠️ 未分析 | extension_data JSON 存储需防注入 |
 | 权限控制 | ⚠️ 未覆盖 | 核销 API 的 admin 权限校验链未验证 |
 
----
-
 ## 任务清单
-
 - [ ] **Task-1**: 定义 vr_events（场次表）、vr_sessions（座位表）、vr_tickets（票券表）、vr_orders（票务订单表）完整 DDL，含主键/索引/外键
   - `[Claimed: council/backend-reviewer]`
 - [ ] **Task-2**: 分析 BuyService OrderInsertHandle 原子扣库存逻辑，输出安全审查报告
@@ -45,8 +87,6 @@
 - [ ] **Task-5**: 将审查结论写入 `reviews/backend-reviewer-on-docs.md`
   - `[Claimed: council/backend-reviewer]`
 
----
-
 ## 执行计划
 
 ### Phase 1 — Draft（Round 2）
@@ -63,8 +103,6 @@
 7. 将最终 DDL + 安全报告 merge 入 main
 8. 投票
 
----
-
 ## 依赖
 - arch-reviewer：ARCHITECTURE.md 中若有数据库层设计，需同步
 - ticket-reviewer：核销系统设计文档中若定义了表结构，需对齐
@@ -72,6 +110,37 @@
 
 ---
 
-## 投票
+# Ticket Reviewer Section
 
-`[CONSENSUS: NO]` — 文档缺少 vr_* 插件表 DDL 定义，安全审查不完整，**不能开始编码**。需先完成表结构设计和安全评审。
+## 角色
+🎫 **ticket-reviewer**：票务系统专家
+
+## 负责文档
+docs/03_VERIFICATION_SYSTEM.md + ARCHITECTURE.md（核销逻辑）
+
+（详细任务待 ticket-reviewer 补充）
+
+---
+
+# Arch Reviewer Section
+
+## 角色
+🏗️ **arch-reviewer**：架构师
+
+## 负责文档
+ARCHITECTURE.md + docs/05_AI_PARTICIPATION.md（架构部分）
+
+（详细任务待 arch-reviewer 补充）
+
+---
+
+## 投票汇总
+
+| Agent | Vote | 说明 |
+|---|---|---|
+| pm-reviewer | TBD | 待 Round 1 完成 |
+| backend-reviewer | `[CONSENSUS: NO]` | 文档缺少 vr_* 插件表 DDL，安全审查不完整，不能开始编码 |
+| ticket-reviewer | TBD | 待 Round 1 完成 |
+| arch-reviewer | TBD | 待 Round 1 完成 |
+
+> 汇总：`[CONSENSUS: NO]` — 执行前需先补全表结构设计和安全评审。