Merge pull request #4464 from WoltLab/session-id-unpack

Fix unpacking of the sessionId

Add safety check for unpacked session cookie data

Fix unpacking of the sessionId

As documented by PHP's reference documentation:

> The "a" code now retains trailing NULL bytes.
> The "A" code now strips all trailing ASCII whitespace (spaces, tabs,
> newlines, carriage returns, and NULL bytes).

Previously, with the 'A' code, sessionIds ending in ASCII whitespace would be
incorrectly unpacked, missing their trailing bytes. This ultimately resulted in
the session not being found and the user being logged out.

Five of the 256 possible characters exhibited this bug, making this fail in
roughly 2% of the cases.

However this likely was not noticable by the typical user. Once they have a
non-affected sessionId, this Id is not going to change. What the user might've
noticed is a login not working, despite showing a success message, because they
sessionId change after a successful login handed out an affected sessionId. But
then the user would likely try again, succeeding this time and writing off the
incident as a fluke.

Test script to reproduce the issue:

    <?php

    for ($i = 0; $i <= 255; $i++) {
        $string = "foo".chr($i);

        $packed = \pack(
            'CA4',
            1,
            $string
        );
        $unpacked1 = \unpack('Cversion/A4string', $packed);
        $unpacked2 = \unpack('Cversion/a4string', $packed);

        if ($unpacked1['string'] !== $string) {
            echo "$i: unpacked1\n";
        }
        if ($unpacked2['string'] !== $string) {
            echo "$i: unpacked2\n";
        }
    }

Fix informal phrase in de.xml

Mark as read doesn't removed the badge from submenu entries

Missing informal variant

Typo

Whitelist `abs` in enterprise mode

Merge pull request #4463 from WoltLab/smiley-unicode-title

Fix Unicode in smiley titles

Fix Unicode in smiley titles

see 5d0bf3ec233f62c6a5a68629e32b7eaa8c9d1dd3
see #4156

Fix localization of PAGE_TITLE in __multifactorTotpSecretField.tpl

Add `required` attributes to acptemplates/login

Show article labels in recent activities

Fix PHP 8.1 compatibility in DatabaseObject::getDatabaseTableIndexName()

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Merge pull request #4459 from SoftCreatR/bugfix/custom-errors

Unify error handling in several templates

Unified error handling in several templates

Slightly improve phrasing in de.xml

Merge branch '5.3' into 5.4

Add missing call to ->loadVariables() before downloading Google Font during style import

Rename `Ui/Object/Action/Toogle` to `Toggle` (#4450)

Merge pull request #4456 from WoltLab/style-edit-description

Prevent StyleEditForm from creating phrases with empty name

Delete the empty phrase when updating to 5.4.5

Validate the languageVariable in I18nHandler::save()

Add LanguageEditor::validateItemName()

Store deterministic language variable for style description in StyleEditForm

If the `styleDescription` was empty (as it might be for the default style) this
attempted to store the description in the language item with empty name.

Missing information who reported a content, if report was made by a guest

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Merge pull request #4453 from WoltLab/iformbutton-is-available

Check whether an IFormButton is available before rendering

Check whether an IFormButton is available before rendering

Updating minified JavaScript files

Release 5.4.4

Rebuild JavaScript

see 33e803caa3e934a078a240687d452f54825379d9

Fix typo in Ui/Reaction/Handler.ts

see 679d5fe8a2353c69b75fd103753831dc785f83a8

use the sessions language id instead of the user's default in `I18nDatabaseObjectList`

`WCF::getUser()->languageID` doesn't return a valid language id as integer in every case. Additionally we (normally) want to use a specific language or the session's language - which might be different from the user's default in some moments.

see #4407

Release 5.4.3

Updating minified JavaScript files

Workaround for unfreezing the screen in iOS Safari

The change to the CSS class and the properties cause a recalculation that could sometimes interfere with the page scrolling.

Forcing the scrolling into the next iteration of the event loop solves this issue by separating both actions. Since the scrolling does depend on the actions in the lines above it, this is reasonably safe to do.

Fix sorting status column in emailLogList.tpl

Skip XML that have been unchanged for 5.3 -> 5.4

Merge pull request #4445 from WoltLab/template-sandbox-foreachvars

Sandbox `foreachVars` in templates

Merge pull request #4446 from WoltLab/mfa-setup-allocation-failed

Show nicer error message if allocating the MFA setup fails

Show nicer error message if allocating the MFA setup fails

`Setup::allocateSetUpId` can deadlock if the form is submitted twice at the
same time. This error should not be normally seen by the user. If they do they
will be directed to "Try again" and then see that MFA is active, because one of
the requests succeeded. They will also receive the info mail letting them know
where to regenerate their backup codes if necessary.

Add RejectEverythingFormField if email MFA is already active

We must not allow submitting the form in this case, because we will trigger the
assertion otherwise.

Fix assertion in EmailMultifactorMethod::processManagementForm()

Sandbox `foreachVars` in templates

Nesting the same template inside a `foreach` loop that is also accessed inside the nested call will overwrite the values from the outer template due to identical identifiers being used.

The sandbox did not protected `$this->foreachVars` despite being stateful.

See #4431
Fixes #4444

Search for not filled user option fields was not possible

Merge pull request #4442 from SoftCreatR/css-optimizations

Prefixed CSS First

Prefixed CSS First

Ensured vendor-prefixed versions of a CSS property are listed before the standardized, unprefixed version.

When multiple versions of the same CSS property are specified, the last supported one will be used due to how browsers handle fallback values. This means the order matters when using both vendor-prefixed and unprefixed versions of the same property. Specifically, the unprefixed version must be listed last to ensure standardized behavior takes precedence.

Removing inline formatting yielded empty elements and broke the selection

See https://community.woltlab.com/thread/291496-fettmarkierung-bei-einem-einzelnen-wort-kann-nicht-mehr-entfernt-werden/

Updating minified JavaScript files

Merge pull request #4440 from WoltLab/sourcemap-proxy

Add proxy_sourcemap.php

Merge branch '5.3' into 5.4

Prevent submitting an empty message to the preview

Merge pull request #4441 from WoltLab/acp-logout-to-reauth

Redirect the user to ACP reauthentication instead of frontend after logout

Add proxy_sourcemap.php

Redirect the user to ACP reauthentication instead of frontend after logout

Revert "Update Open Sans"

This reverts Open Sans back to the non-variable version, as the variable one
appears to render pretty badly on Windows.

This reverts commit 33c8866a790e9e6bc46358f6e82df76d2e32f56e.

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Merge pull request #4439 from xopez/5.2

Fixes Bings Sitemap Howto

Reactions were not displayed in article list when sorted by title

Mark as read doesn't removed the badge in the mobile menu

Fixes Bings Sitemap Howto

This includes the correct links if the Bing Webmaster Tools help & how-to for sitemaps.

Merge pull request #4438 from WoltLab/5.4-fix-missing-salts

Fix having an incorrect parameter if a hash does not contains a salt

Fix having an incorrect parameter if a hash does not contains a salt

Fixes #4416

Reset the avatar cache to force the use of the WebP variants

Fixes #4424

Delete reaction type icon on delete action

Merge branch '5.2' into 5.3

Run SCSS prettier

Fix typo in watchedArticleList.tpl

Merge branch '5.3' into 5.4

Some external links in the admin panel did not open in a new window

Trim the preview height using traditional overflow

`-webkit-line-clamp` is broken in Firefox and Safari once complex HTML is used.

See https://community.woltlab.com/thread/291373-rich-embeds-mit-liste-fehlerhaft/

Skip the user menu initialization if there are no items

Detect `<center>` as a block element

Merge branch '5.2' into 5.3

Merge pull request #4435 from WoltLab/php-ddl-diff

PHP DDL Fixes

Take the array key into account when checking whether a column is up to date in DatabaseTableChangeProcessor

Previously updating a column that looks like this:

    column VARCHAR(1) NOT NULL

to:

    column VARCHAR(1) NULL

would not do anything.

Converted into the `getData()` representation of the PHP DDL API these would
look like:

    [ 'default' => null
    , 'notNull' => 1
    , 'type' => 'VARCHAR'
    , 'length' => 1
    ]

and

    [ 'default' => null
    , 'notNull' => 0
    , 'type' => 'VARCHAR'
    , 'length' => 1
    ]

respectively.

Now taking the diff of the first array against the second array (subtracting
the second from the first) will remove *both* 1 values, resulting in an
empty difference, thus believing both columns are identical.

Fix this issue by using `array_diff_assoc` which will also take the key into
account.

Take the array key into account when checking whether a KEY is up to date in DatabaseTableChangeProcessor

Previously updating a (pretty contrived) KEY that looks like this:

    […] UNIQUE KEY someIndex (`UNIQUE`)

to:

    […] KEY someIndex (`UNIQUE`)

would not do anything.

Converted into the `getData()` representation of the PHP DDL API these would
look like:

    [ 'columns' => 'UNIQUE'
    , 'type' => 'UNIQUE'
    ]

and

    [ 'columns' => 'UNIQUE'
    , 'type' => null
    ]

respectively.

Now taking the diff of the first array against the second array (subtracting
the second from the first) will remove *both* 'UNIQUE' values, resulting in an
empty difference, thus believing both KEYs are identical.

Fix this issue by using `array_diff_assoc` which will also take the key into
account.

Incorrect handling of `null` values for metacode attributes

Merge branch '5.2' into 5.3

Merge pull request #4433 from WoltLab/php-ddl-diff

PHP DDL Fixes

Take the array key into account when checking whether a FOREIGN KEY is up to date in DatabaseTableChangeProcessor

Previously updating a FOREIGN KEY that looks like this:

    […] FOREIGN KEY (fooID) REFERENCES wcf1_foo (fooID) ON DELETE SET NULL ON UPDATE CASCADE

to:

    […] FOREIGN KEY (fooID) REFERENCES wcf1_foo (fooID) ON DELETE CASCADE ON UPDATE SET NULL

would not do anything.

Converted into the `getData()` representation of the PHP DDL API these would
look identical when looking at the values only. Both span the same column and
reference the same column on the same table. The `ON …` actions are one
`CASCADE` and one `SET NULL` for both.

For this reason the diff is empty, believing that the FOREIGN KEY already
matches the expected configuration.

Fix this issue by using `array_diff_assoc` which will also take the key into
account.

Take the array key into account when matching up FOREIGN KEYs in DatabaseTableChangeProcessor

Previously a FOREIGN KEY within the database that looks like this:

    […] FOREIGN KEY (someOtherUserID) REFERENCES wcf1_user (userID) […]

would match up a FOREIGN KEY definition like the following:

    […] FOREIGN KEY (userID) REFERENCES wcf1_user (userID) […]

Converted into the `getDiffData()` representation of the PHP DDL API these
would like:

    [ 'columns'           => 'someOtherUserID'
    , 'referencedColumns' => 'userID'
    , 'referencedTable'   => 'wcf1_user'
    ]

and

    [ 'columns'           => 'userID'
    , 'referencedColumns' => 'userID'
    , 'referencedTable'   => 'wcf1_user'
    ]

respectively.

Now taking the diff of the second array against the first array (subtracting
the first from the second) will remove *both* 'userID' values, resulting in an
empty difference, thus believing both FOREIGN KEYs are identical

Fix this issue by using `array_diff_assoc` which will also take the key into
account.

Merge pull request #4430 from WoltLab/js-legacy-inheritance

Resolved side effects from previous inheritance approach

Merge pull request #4429 from WoltLab/form-field-data-handler-es6

Support ES 6 default exports for form builder field JavaScript data handlers

Support ES 6 default exports for form builder field JavaScript data handlers

For legacy exports the value loaded by `require()` (`FormBuilderField`) will be
whatever the module author returned within the module definition. ES 6 modules
on the other hand will be passed as an object containing the exported values,
with the default export residing in the `default` key.

tslib's `__importDefault` will transform a legacy export into a ES 6 module, by
putting the exported value into the `default` key of an freshly created object.

This allows us to handle both legacy as well as ES 6 default exports identically
by simply using the `default` value of the `FormBuilderField` variable.

Merge branch '5.3' into 5.4

Merge pull request #4431 from WoltLab/foreach-empty

Fix `{foreach}` loops when the to-be-iterated value is empty

Fix `{foreach}` loops when the to-be-iterated value is empty

The restoring of the `item` value failed, because the necessary data in
`foreachVars` was only being filled when the `foreach()` loop was actually
entered. Move this saving of the old value up to ensure it always happens.

see 75ce18bc18904d1215c7d021ac0ac18c0a7a5d42
see #4425

Resolved side effects from previous inheritance approach

This is a follow-up for db23f8af33398c4851d6ba36436592f406b35a0d which introduced a flawed change.

The iteration over the prototype chain caused the prototype itself being bound to an object on runtime, conflicting with other objects.

The root cause was that some parts of the inherited functions were still bound to `constructed`, which was attempted to be fixed by poking the prototype chain.

This new fix is a bit weird, unless one understands that the call to `Reflect.construct()` is a bit tricky because any bound call inside the constructor of `legacyClass` will be bound to `constructed`.

This change is more of a sledge hammer approach, but it works all cases that I tested, including those that were initially the cause for the previous fix as well as new issues caused by the fix.

Sneaky whitespace

Incorrect value type when using the legacy MySQL extension

Improved a11y of content items

Improved usability of footer links on mobile devices

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3